Die US-Non-Profit-Organisation Mitre hat die 25 gefährlichsten Schwachstellen in Software des Jahres 2021 gekürt. Die als Common Weakness Enumeration (CWE) bezeichnete Liste gewichtet Sicherheitslücken nach ihrer Verbreitung und ihren Auswirkungen. Sie nutzt Daten der Common Vulnerabilities and Exposures (CVE) und der National Vulnerability Database (NVD) des National Institure of Standards and Technology (NIST). Außerdem werden die Bewertungen einzelner CVEs im Common Vulnerability Scoring System (CVSS) berücksichtigt.
An oberster Stelle stehen Out-of-Bounds-Speicherfehler. Bei dieser Art von Schwachstellen schreibt eine Software Daten außerhalb des vorgesehenen Speicherpuffers. Das kann zu einer Beschädigung von Daten sowie einem Absturz eines Systems führen – Angreifer sind unter Umständen in der Lage, Schadcode auszuführen.
“Diese Schwachstellen sind gefährlich, weil sie oft leicht zu finden und auszunutzen sind und es Angreifern ermöglichen können, ein System komplett zu übernehmen, Daten zu stehlen oder den Betrieb einer Anwendung verhindern”, so Mitre in einem Blogeintrag.
Eine unsachgemäße Neutralisierung von Eingaben während der Generierung einer Website (CWE-125) schaffte es auf den zweiten Platz. Dabei handelt es sich um eine Cross-Site-Scripting-Lücke, bei der Eingaben fehlerhaft neutralisiert werden, bevor sie als Ausgaben auf einer Website platziert werden. Das wiederum begünstigt das Einschleusen von schädlichen Skripte, um vertrauliche Daten zu stehlen und andere bösartige Anfragen auszuführen.
Der dritte Platz wiederum ist eine Abwandlung der Spitzenposition: CWE-125 beschreibt einen Out-of-Bounds-Lesefehler. Ein Angreifer ist also in der Lage, Daten von außerhalb der vorgesehenen Speicherbereichs zu lesen und ebenfalls einen Absturz auszulösen.
Für die aktuelle Liste wurden NVD-Daten der Jahre 2019 und 2020 ausgewertet. Insgesamt flossen rund 32.500 CVEs, also 32.500 unterschiedliche Sicherheitslücken, in die Liste ein.
Egal wie schwerwiegend eine Anfälligkeit ist, der beste Schutz vor einem Angriff von Cyberkriminellen ist die zeitnahe Installation von allen verfügbaren Sicherheitspatches für bekannte Schwachstellen.
Fraunhofer hat eine KI-basierte Produktionsüberwachung und -steuerung für mittelständische Industriebetriebe entwickelt.
Jedes fünfte Unternehmen hat seine Regelungen für mobile Heimarbeit abgeschafft, ein weiteres Fünftel will sie…
Die rasante Entwicklung von KI-Agenten bringt insbesondere Herausforderungen für den Schutz sensibler Daten mit sich.
2020 könnten böswillige Akteure Zugang zu quantengestützten Cyberangriffen haben, warnt Cindy Provin von Utimaco.
KI-Workplace wird ausschließlich auf eigene Server-Infrastruktur in Rechenzentren in Frankfurt am Main betrieben.
Der digitale Zwilling einer Organisation bildet reale Geschäftsprozesse virtuell ab und schafft die Grundlage für…
