MITRE công bố danh sách 25 lỗ hổng phần mềm nguy hiểm nhất 2023

Danh sách 25 lỗ hổng phần mềm được cho là nguy hiểm và phổ biến nhất. nhiều lỗ hổng trong số đó rất dễ tìm thấy và có thể bị bọn tội phạm mạng lợi dụng để truy cập trái phép, đánh cắp dữ liệu hoặc gây ra sự cố cho ứng dụng, hệ thống.

Cảnh báo mới nhất từ ​​Cơ quan An ninh Cơ sở hạ tầng & An ninh mạng Mỹ (CISA), một cơ quan của Bộ An ninh Nội địa phụ trách vấn đề an ninh mạng và bảo mật cơ sở hạ tầng quan trọng, cập nhật thêm thông tin về 25 điểm yếu bảo mật nguy hiểm nhất trong các sản phẩm phần mềm. 

Theo MITRE Corporation, đại diện cho CISA và DHS, những lỗ hổng phần mềm phổ biến và có ảnh hưởng nhất trong danh sách Top 25 của CWE thường rất dễ tìm và khai thác. Những vấn đề này có thể dẫn đến các lỗ hổng có thể khai thác, cho phép tin tặc tấn công cà chiếm quyền kiểm soát hệ thống, đánh sập máy chủ, đánh cắp dữ liệu hoặc lỗi tải ứng ứng dụng.

MITRE công bố danh sách 25 lỗ hổng phần mềm nguy hiểm nhất 2023

Trong năm 2023, vị trí đầu đầu trong danh sách lỗ hổng nguy hiểm và phổ biến nhất trong phần mềm tương tự như năm ngoái: Out-of-bounds Write (CWE-787), một lỗ hổng có thể dẫn đến hỏng dữ liệu hoặc gây sự cố cho hệ thống,hoặc thực thi mã của những kẻ tấn công.

Đứng ở vị trí thứ hai trong danh sách là CWE-79 (Cross-site scripting) lỗ hổng XSS liên quan đến việc xử dữ liệu đầu vào không đúng trước khi phản hồi kết quả trên trang web. Lợi dụng điều này những kẻ tấn công có thể chèn các đoạn mã độc hại cho phép chúng ăn cắp thông tin nhạy cảm, gửi các yêu cầu độc hại khác, trong một số trường hợp đặc biệt, kẻ tấn công có thể giành được đặc quyền của quản trị viên. 

Lổ hổng thứ ba là CWE-89, có liên quan đến lỗi bảo mật SQL Injection, một dạng lỗi dữ liệu đầu vào khác. Danh sách hàng đầu của CWE năm nay dựa trên dữ liệu từ 43.996 bản ghi CVE về các lỗ hổng được phát hiện từ năm 2021 đến 2022. 

MITRE công bố danh sách 25 lỗ hổng phần mềm nguy hiểm nhất 2023

Vị trí thứ tư thuộc về lỗ hổng CW-416 (Use After Free) đứng thứ bảy vào năm ngoái. Lỗ hổng ngày càng phổ biến này liên quan đến các địa chỉ bộ nhớ vẫn được sử dụng sau khi được giải phóng, cho phép tin tặc khai thác hành vi không phù hợp và có khả năng làm sập hệ điều hành hoặc máy chủ hoặc thực thi mã độc từ xa. 

Nhiều lỗ hổng có khả năng gây thiệt hại nghiêm trọng nếu chúng bị tội phạm mạng phát hiện và khai thác. Các điểm yếu này thường có thể được khắc phục bằng các bản vá bảo mật có sẵn. Áp dụng các bản vá bảo mật để sửa các lỗ hổng bảo mật đã biết là một trong những điều quan trọng mà các tổ chức có thể làm để giúp bảo vệ mạng của họ khỏi các cuộc tấn công mạng. 

Ngoài danh sách hàng đầu của CWE, MITRE dự kiến ​​sẽ phát hành một loạt danh sách vào mùa hè này trình bày chi tiết cách thông tin này có thể được sử dụng hiệu quả hơn trong cộng đồng bảo mật. 

 

Bài liên quan

Bài đọc nhiều nhất

Bài mới trong ngày

Bước ngoặt lịch sử: Bom tấn One Piece được dự phóng soán ngôi Harry Potter, trở thành sê-ri sách bán chạy nhất mọi thời đại

Bước ngoặt lịch sử: Bom tấn One Piece được dự phóng soán ngôi Harry Potter, trở thành sê-ri sách bán chạy nhất mọi thời đại

hoanlagvnDũng Nhỏ TT

Thị trường xuất bản thế giới đang đứng trước một cơn địa chấn kinh điển khi trật tự về những tác phẩm ăn khách nhất lịch sử loài người chuẩn bị có sự thay đổi lớn. Theo các phân tích chiến lược mới nhất từ giới chuyên môn, siêu phẩm manga "One Piece" của đại tài năng Eiichiro Oda đang băng băng tiến sát cột mốc thần kỳ, sẵn sàng lật đổ ngai vàng của huyền thoại "Harry Potter" ngay trong năm nay.

Giải trí
GigaWiper, mã độc mới vừa đánh cắp dữ liệu vừa có thể xóa sạch toàn bộ ổ cứng từ xa

GigaWiper, mã độc mới vừa đánh cắp dữ liệu vừa có thể xóa sạch toàn bộ ổ cứng từ xa

quânQuân Kít

Microsoft vừa phát đi cảnh báo về một loại phần mềm độc hại mới mang tên GigaWiper, được đánh giá là một trong những mối đe dọa nguy hiểm nhất từng được phát hiện trong thời gian gần đây. Không chỉ đóng vai trò là một cửa hậu (backdoor) cho phép tin tặc điều khiển máy tính từ xa, GigaWiper còn tích hợp nhiều cơ chế phá hủy dữ liệu có khả năng xóa sạch toàn bộ ổ cứng và khiến dữ liệu không thể phục hồi.

Công Nghệ
Lên đầu trang