Профильная организация MITRE опубликовала новый ежегодный список 25 самых опасных программных ошибок и уязвимостей 2023 CWE Top 25 Key Insights.
MITRE - это некоммерческая организация, которая работает в США и управляет центрами исследований и разработок на уровне федерального правительства и местного самоуправления. В зону интересов MITRE входят: искусственный интеллект, квантовая информатика, информатика в области здравоохранения, космическая безопасность, обмен данными о киберугрозах и средствах защиты и так далее. В сфере информационной безопасности корпорация MITRE известна благодаря списку уязвимостей CVE (Common Vulnerabilities and Exposures, сайт cve.mitre.org). Это база общеизвестных уязвимостей, которая появилась в 1999 году и с тех пор стала одним из основных ресурсов, где ИБ-эксперты структурируют и хранят данные по багам и ошибкам в ПО.
Эксперты MITRE в конце июня выпустили очередной ежегодный список из топ-25 самых опасных программных уязвимостей CVE. Этот список основан на анализе общедоступных данных об уязвимостях в 43 996 записей CVE, каждой из которых была присвоена оценка в зависимости от распространённости и серьёзности.
В этом году в список MITRE вошли баги и проблемы в ПО, связанные с недостаточной проверкой входных данных, неправильным использованием API и управлением ресурсами, а также критические уязвимости, которые были там ранее, включая инъекции, неправильное управление памятью и недостаточная обработка ошибок.
Профильные эксперты пояснили, что список 2023 CWE Top 25 Key Insights основан на данных из различных источников, включая отчёты об уязвимостях, данные о вредоносном ПО и информации об атаках, а также учитывает мнение экспертов по безопасности. По их мнению, если расставлять приоритеты с целью избавить себя от большинства проблем и снизить вероятность взлома до 1%, то на него определённо стоить обратить внимание системным администраторам.
Источник новости: habr.com
