Mitre aktualisiert Liste der 25 gefährlichsten Software-Anfälligkeiten
In die aktuelle Ausgabe fließen Daten von mehr als 32.000 Schwachstellen ein. Die Liste nutzt auch Daten des Common Vulnearability Scoring System. Den Spitzenplatz belegen Out-Of-Bounds-Schreibfehler.
Die US-Non-Profit-Organisation Mitre hat die 25 gefährlichsten Schwachstellen in Software des Jahres 2021 gekürt. Die als Common Weakness Enumeration (CWE) bezeichnete Liste gewichtet Sicherheitslücken nach ihrer Verbreitung und ihren Auswirkungen. Sie nutzt Daten der Common Vulnerabilities and Exposures (CVE) und der National Vulnerability Database (NVD) des National Institure of Standards and Technology (NIST). Außerdem werden die Bewertungen einzelner CVEs im Common Vulnerability Scoring System (CVSS) berücksichtigt.
An oberster Stelle stehen Out-of-Bounds-Speicherfehler. Bei dieser Art von Schwachstellen schreibt eine Software Daten außerhalb des vorgesehenen Speicherpuffers. Das kann zu einer Beschädigung von Daten sowie einem Absturz eines Systems führen – Angreifer sind unter Umständen in der Lage, Schadcode auszuführen.
“Diese Schwachstellen sind gefährlich, weil sie oft leicht zu finden und auszunutzen sind und es Angreifern ermöglichen können, ein System komplett zu übernehmen, Daten zu stehlen oder den Betrieb einer Anwendung verhindern”, so Mitre in einem Blogeintrag.
Eine unsachgemäße Neutralisierung von Eingaben während der Generierung einer Website (CWE-125) schaffte es auf den zweiten Platz. Dabei handelt es sich um eine Cross-Site-Scripting-Lücke, bei der Eingaben fehlerhaft neutralisiert werden, bevor sie als Ausgaben auf einer Website platziert werden. Das wiederum begünstigt das Einschleusen von schädlichen Skripte, um vertrauliche Daten zu stehlen und andere bösartige Anfragen auszuführen.
Der dritte Platz wiederum ist eine Abwandlung der Spitzenposition: CWE-125 beschreibt einen Out-of-Bounds-Lesefehler. Ein Angreifer ist also in der Lage, Daten von außerhalb der vorgesehenen Speicherbereichs zu lesen und ebenfalls einen Absturz auszulösen.
Für die aktuelle Liste wurden NVD-Daten der Jahre 2019 und 2020 ausgewertet. Insgesamt flossen rund 32.500 CVEs, also 32.500 unterschiedliche Sicherheitslücken, in die Liste ein.
Egal wie schwerwiegend eine Anfälligkeit ist, der beste Schutz vor einem Angriff von Cyberkriminellen ist die zeitnahe Installation von allen verfügbaren Sicherheitspatches für bekannte Schwachstellen.