管理包括安全在內等多個研發中心的美國非營利組織MITRE,在本周公布了這兩年最危險的25種軟體安全缺陷(Common Weakness Enumeration,CWE),佔據第一名的是可能衍生出各種跨站程序攻擊(Cross-site scripting,XSS)的CWE-79。
CWE全名為通用缺陷列表,是由MITRE負責管理的National Cybersecurity FFRDC所贊助的項目,它把各種軟體漏洞分門別類,總計提供超過600種分類,與企業修補漏洞時所使用的「常見漏洞披露」(Common Vulnerabilities and Exposures,CVE)不同,CVE指的是軟體中的具體漏洞,而非只是分類。
其實CWE項目去年也曾發布2019年最危險的25種軟體缺陷,今年前25名的差異並不大,只是名次有些異動,MITRE說明,這是因為今年他們突顯了更具體的安全缺陷,使得那些較為抽象的漏洞類型排名下滑。此外,這些漏洞的排名主要是根據它們是否很容易被發現與攻陷,以及是否允許黑客完全掌控系統、竊取資料或阻止應用程式運行而定。
今年所列出的前五名最危險漏洞類別中,第一名為CWE-79,它起因於在網頁生成的過程中,出現不當的中和輸入(Improper Neutralization of Input During Web Page Generation),而可能衍生出各種跨站程序攻擊,它在去年僅排名第二。
第二名則是CWE-787的越界寫入(Out-of-bounds Write)缺陷,指的是軟體會在預期的緩衝區之外寫入資料,一般可造成資料損毀、宕掉,或是允許程序執行。CWE-787在去年的排名是第12。
第三名為CWE-20的不適當輸入驗證(Improper Input Validation),意指產品所接收到的輸入資料未經驗證,或是不適當地驗證了含有不安全內容的輸入資料。CWE-20與去年的排名一致。
第四名為CWE-125的越界讀取(Out-of-bounds Read)缺陷,也即允許軟體讀取緩衝區以外的資料,通常可允許黑客讀取存放在內存中的機密信息或是造成系統宕掉。它在去年排名第五名,今年上升了一名。
第五名則是CWE-119,屬於內存緩衝區內不當的操作限制,這是因為特定語言容許直接取得內存區域,但並未自動確保這些內存緩衝區是有效的,可能造成在這些區域中的讀寫操作牽連到其它的變量、數據結構或內部程序資料,使得讀寫行為超越緩衝區界線,而讓黑客得以執行任意程序、變更控制流程、讀取機密信息或導致系統宕機。CWE-119是去年的第一名。
MITRE表示,2020 CWE Top 25是參考了2018年與2019年的美國國家漏洞資料庫(NVD),分析2.7萬個CVEs的特性與CVSS(常見漏洞評分系統)分數而成,以期客觀地了解現實世界中真正存在的軟體缺失,將讓項目管理員、安全研究人員或教育人員得以一窺當前的安全景況。