Mitre公司发布了2023年最危险的软件漏洞年度名单，榜首的位置没有变化。

这家美国非营利组织在过去两年中一直在分析国家漏洞数据库(NVD)中发现的公共漏洞数据，以寻找CVE漏洞的根本原因映射。在此期间，该组织分析了近44,000个cve。

根据分析，越界写入漏洞是今年最危险的软件漏洞(与2022年一样)。这是一种软件缺陷，会导致程序在分配的内存区域边界之外写入。结果，端点可能崩溃，或者执行任意代码。威胁行为者通常通过写入比分配的内存区域的大小更大的数据或将数据写入内存区域内的错误位置来滥用此缺陷。

防止越界写入缺陷通常包括仔细验证所有输入，以确保它们在预期范围内。

其他主要的软件漏洞包括跨站点脚本(XSS)、SQL注入、释放后使用、操作系统命令注入、不正确的输入验证、越界读取、路径遍历、跨站点请求伪造(CSRF)以及无限制地上传具有危险类型的文件。与去年相比，最大的变化是排除了对XML外部实体引用的不当限制，这不再被认为是前25个最危险的缺陷之一。

诸如此类的软件缺陷可以被威胁行为者利用来进行各种网络攻击。它们可用于窃取敏感数据、接管易受攻击的端点、进行身份盗窃、电信欺诈等。例如，网络安全研究人员Francisco Falcon和Ivan Arce在2023年3月初发现了TPM 2.0中的越界读取(CVE-2023-1017)和越界写入(CVE-2023-1018)漏洞。当时，据说这些漏洞可能会给“数十亿”易受攻击的设备带来重大麻烦。

CERT当时警告说:“访问tpm命令接口的攻击者可以向模块发送恶意命令并触发这些漏洞。”“这允许对敏感数据进行只读访问，或者覆盖只有TPM可用的通常受保护的数据(例如，加密密钥)。”

一个月后，也就是4月初，据报道苹果修复了IOSurface的越界写入漏洞，该漏洞允许攻击者破坏数据，使应用程序和设备崩溃，并远程执行代码。最坏的情况是——威胁行为者可能会推送一个恶意应用程序，允许他们在目标端点上使用内核特权执行任意代码。

流行的即时通讯平台Telegram也不能幸免于越界写入漏洞，早在2021年，一名安全研究人员就在一批13个漏洞中发现了一个这样的零日漏洞。

据报道，本月早些时候，网络安全和基础设施安全局(CISA)和美国国家安全局(NSA)推出了一套技巧和最佳实践，组织可以使用这些技巧和最佳实践来保护他们的持续集成/持续交付(CI/CD)环境。根据建议，企业应该在其云应用程序配置中实施强大的加密算法，尽量减少长期凭证的使用，并采用安全的代码签名。此外，CISA规定，企业在审查开发人员提交的代码时应该使用两人规则，并采用最小特权原则。

这两个组织强调:“通过实施拟议的缓解措施，组织可以减少CI/CD环境中利用向量的数量，并为对手渗透创造一个具有挑战性的环境。”

BleepingComputer在报告中表示:“MITRE的2023年前25大弱点是危险的，因为它们的影响很大，而且在过去两年发布的软件中广泛出现。”通过分享此列表，MITRE为更广泛的社区提供了有关需要立即关注的最关键软件安全漏洞的宝贵信息。”

MITRE本周表示，最危险的软件漏洞类型是越界写入。这种类型的漏洞导致了美国政府已知漏洞列表中70个cve标记的漏洞，这些漏洞正在受到积极攻击，需要修补，”它补充说，同样的漏洞连续两年位居榜首的事实表明“明显缺乏改进”。

我的企业邮箱地址是enterprise@qoot.cool，如果你需要更专业的自媒体创作咨询和建议，欢迎给我发送邮件，我将尽力为你提供帮助。