管理包括安全在内等多个研发中心的美国非营利组织MITRE,在本周公布了这两年最危险的25种软件安全缺陷(Common Weakness Enumeration,CWE),占据第一名的是可能衍生出各种跨站程序攻击(Cross-site scripting,XSS)的CWE-79。
CWE全名为通用缺陷列表,是由MITRE负责管理的National Cybersecurity FFRDC所赞助的项目,它把各种软件漏洞分门别类,总计提供超过600种分类,与企业修补漏洞时所使用的“常见漏洞披露”(Common Vulnerabilities and Exposures,CVE)不同,CVE指的是软件中的具体漏洞,而非只是分类。
其实CWE项目去年也曾发布2019年最危险的25种软件缺陷,今年前25名的差异并不大,只是名次有些异动,MITRE说明,这是因为今年他们突显了更具体的安全缺陷,使得那些较为抽象的漏洞类型排名下滑。此外,这些漏洞的排名主要是根据它们是否很容易被发现与攻陷,以及是否允许黑客完全掌控系统、窃取资料或阻止应用程序运行而定。
今年所列出的前五名最危险漏洞类别中,第一名为CWE-79,它起因于在网页生成的过程中,出现不当的中和输入(Improper Neutralization of Input During Web Page Generation),而可能衍生出各种跨站程序攻击,它在去年仅排名第二。
第二名则是CWE-787的越界写入(Out-of-bounds Write)缺陷,指的是软件会在预期的缓冲区之外写入资料,一般可造成资料损毁、宕掉,或是允许程序执行。CWE-787在去年的排名是第12。
第三名为CWE-20的不适当输入验证(Improper Input Validation),意指产品所接收到的输入资料未经验证,或是不适当地验证了含有不安全内容的输入资料。CWE-20与去年的排名一致。
第四名为CWE-125的越界读取(Out-of-bounds Read)缺陷,也即允许软件读取缓冲区以外的资料,通常可允许黑客读取存放在内存中的机密信息或是造成系统宕掉。它在去年排名第五名,今年上升了一名。
第五名则是CWE-119,属于内存缓冲区内不当的操作限制,这是因为特定语言容许直接取得内存区域,但并未自动确保这些内存缓冲区是有效的,可能造成在这些区域中的读写操作牵连到其它的变量、数据结构或内部程序资料,使得读写行为超越缓冲区界线,而让黑客得以执行任意程序、变更控制流程、读取机密信息或导致系统宕机。CWE-119是去年的第一名。
MITRE表示,2020 CWE Top 25是参考了2018年与2019年的美国国家漏洞数据库(NVD),分析2.7万个CVEs的特性与CVSS(常见漏洞评分系统)分数而成,以期客观地了解现实世界中真正存在的软件缺失,将让项目管理员、安全研究人员或教育人员得以一窥当前的安全景况。