北京
近期,MITRE公布了2025年度最危險(xiǎn)的25類軟件弱點(diǎn)榜單,這些弱點(diǎn)是2024年6月至2025年6月期間披露的39000余個(gè)安全漏洞的核心誘因。
軟件弱點(diǎn)指軟件在代碼編寫、功能實(shí)現(xiàn)、架構(gòu)搭建或設(shè)計(jì)環(huán)節(jié)中存在的缺陷、程序錯(cuò)誤、安全漏洞等問題,攻擊者可利用這些弱點(diǎn),入侵運(yùn)行存在問題軟件的系統(tǒng)。一旦成功利用這些弱點(diǎn),威脅者即可控制被入侵設(shè)備,發(fā)起拒絕服務(wù)攻擊,或是竊取敏感數(shù)據(jù)。
為編制本年度榜單,MITRE分析了2024年6月1日至2025年6月1日期間收錄的39080條CVE漏洞記錄,依據(jù)各類弱點(diǎn)的危害程度與出現(xiàn)頻率進(jìn)行打分排名。
盡管跨站腳本攻擊(CWE-79)仍穩(wěn)居榜單首位,但與去年的榜單相比,多個(gè)弱點(diǎn)的排名出現(xiàn)較大變動(dòng),其中排名上升幅度最大的包括缺失授權(quán)(CWE-862)、空指針解引用(CWE-476)、缺失身份驗(yàn)證(CWE-306)。
本年度新增入選榜單的高危害、高流行度弱點(diǎn)包括:經(jīng)典緩沖區(qū)溢出(CWE-120)、基于棧的緩沖區(qū)溢出(CWE-121)、基于堆的緩沖區(qū)溢出(CWE-122)、訪問控制不當(dāng)(CWE-284)、通過用戶可控密鑰繞過授權(quán)(CWE-639)、無限制或限流的資源分配(CWE-770)。
這類弱點(diǎn)往往易被發(fā)現(xiàn)和利用,會(huì)催生可被利用的安全漏洞,讓攻擊者得以完全控制目標(biāo)系統(tǒng)、竊取數(shù)據(jù),或是導(dǎo)致應(yīng)用程序無法正常運(yùn)行。榜單明確了攻擊者入侵系統(tǒng)、竊取數(shù)據(jù)或破壞服務(wù)時(shí),所利用的最關(guān)鍵的軟件弱點(diǎn)。
參考及來源:https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
