MITRE公布這兩年全球最危險的25種軟體安全缺陷

管理包括資安在內等多個研發中心的美國非營利組織MITRE，在本周公布了這兩年最危險的25種軟體安全缺陷（Common Weakness Enumeration，CWE），占據第一名的是可能衍生出各種跨站程式攻擊（Cross-site scripting，XSS）的CWE-79。

CWE全名為通用缺陷列表，是由MITRE負責管理的National Cybersecurity FFRDC所贊助的專案，它把各種軟體漏洞分門別類，總計提供逾600種分類，與業者修補漏洞時所使用的「常見漏洞披露」（Common Vulnerabilities and Exposures，CVE）不同，CVE指的是軟體中的具體漏洞，而非只是分類。

其實CWE專案去年也曾發布2019年最危險的25種軟體缺陷，今年前25名的差異並不大，只是名次有些異動，MITRE說明，這是因為今年他們突顯了更具體的安全缺陷，使得那些較為抽象的漏洞類型排名下滑。此外，這些漏洞的排名主要是根據它們是否很容易被發現與攻陷，以及是否允許駭客完全掌控系統、竊取資料或阻止應用程式運作而定。

今年所列出的前五名最危險漏洞類別中，第一名為CWE-79，它肇因於在網頁生成的過程中，出現不當的中和輸入（Improper Neutralization of Input During Web Page Generation），而可能衍生出各種跨站程式攻擊，它在去年僅排名第二。

第二名則是CWE-787的越界寫入（Out-of-bounds Write）缺陷，指的是軟體會在預期的緩衝區之外寫入資料，一般可造成資料損毀、當掉，或是允許程式執行。CWE-787在去年的排名是第12。

第三名為CWE-20的不適當輸入驗證（Improper Input Validation），意指產品所接收到的輸入資料未經驗證，或是不適當地驗證了含有不安全內容的輸入資料。CWE-20與去年的排名一致。

第四名為CWE-125的越界讀取（Out-of-bounds Read）缺陷，亦即允許軟體讀取緩衝區以外的資料，通常可允許駭客讀取存放在記憶體中的機密資訊或是造成系統當掉。它在去年排名第五名，今年上升了一名。

第五名則是CWE-119，屬於記憶體緩衝區內不當的操作限制，這是因為特定語言容許直接取得記憶體區域，但並未自動確保這些記憶體緩衝區是有效的，可能造成在這些區域中的讀寫操作牽連到其它的變數、資料結構或內部程序資料，使得讀寫行為超越緩衝區界線，而讓駭客得以執行任意程式、變更控制流程、讀取機密資訊或導致系統當機。CWE-119是去年的第一名。

MITRE表示，2020 CWE Top 25是參考了2018年與2019年的美國國家漏洞資料庫（NVD），分析2.7萬個CVEs的特性與CVSS（常見漏洞評分系統）分數而成，以期客觀地了解現實世界中真正存在的軟體缺失，將讓專案管理員、安全研究人員或教育人員得以一窺當前的資安景況。