Die US-Non-Profit-Organisation Mitre hat die 25 gefährlichsten Schwachstellen in Software des Jahres 2021 gekürt. Die als Common Weakness Enumeration (CWE) bezeichnete Liste gewichtet Sicherheitslücken nach ihrer Verbreitung und ihren Auswirkungen. Sie nutzt Daten der Common Vulnerabilities and Exposures (CVE) und der National Vulnerability Database (NVD) des National Institure of Standards and Technology (NIST). Außerdem werden die Bewertungen einzelner CVEs im Common Vulnerability Scoring System (CVSS) berücksichtigt.
An oberster Stelle stehen Out-of-Bounds-Speicherfehler. Bei dieser Art von Schwachstellen schreibt eine Software Daten außerhalb des vorgesehenen Speicherpuffers. Das kann zu einer Beschädigung von Daten sowie einem Absturz eines Systems führen – Angreifer sind unter Umständen in der Lage, Schadcode auszuführen.
“Diese Schwachstellen sind gefährlich, weil sie oft leicht zu finden und auszunutzen sind und es Angreifern ermöglichen können, ein System komplett zu übernehmen, Daten zu stehlen oder den Betrieb einer Anwendung verhindern”, so Mitre in einem Blogeintrag.
Eine unsachgemäße Neutralisierung von Eingaben während der Generierung einer Website (CWE-125) schaffte es auf den zweiten Platz. Dabei handelt es sich um eine Cross-Site-Scripting-Lücke, bei der Eingaben fehlerhaft neutralisiert werden, bevor sie als Ausgaben auf einer Website platziert werden. Das wiederum begünstigt das Einschleusen von schädlichen Skripte, um vertrauliche Daten zu stehlen und andere bösartige Anfragen auszuführen.
Der dritte Platz wiederum ist eine Abwandlung der Spitzenposition: CWE-125 beschreibt einen Out-of-Bounds-Lesefehler. Ein Angreifer ist also in der Lage, Daten von außerhalb der vorgesehenen Speicherbereichs zu lesen und ebenfalls einen Absturz auszulösen.
Für die aktuelle Liste wurden NVD-Daten der Jahre 2019 und 2020 ausgewertet. Insgesamt flossen rund 32.500 CVEs, also 32.500 unterschiedliche Sicherheitslücken, in die Liste ein.
Egal wie schwerwiegend eine Anfälligkeit ist, der beste Schutz vor einem Angriff von Cyberkriminellen ist die zeitnahe Installation von allen verfügbaren Sicherheitspatches für bekannte Schwachstellen.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…