北京
近期,MITRE公布了2025年度最危險的25類軟件弱點榜單,這些弱點是2024年6月至2025年6月期間披露的39000余個安全漏洞的核心誘因。
軟件弱點指軟件在代碼編寫、功能實現、架構搭建或設計環節中存在的缺陷、程序錯誤、安全漏洞等問題,攻擊者可利用這些弱點,入侵運行存在問題軟件的系統。一旦成功利用這些弱點,威脅者即可控制被入侵設備,發起拒絕服務攻擊,或是竊取敏感數據。
為編制本年度榜單,MITRE分析了2024年6月1日至2025年6月1日期間收錄的39080條CVE漏洞記錄,依據各類弱點的危害程度與出現頻率進行打分排名。
盡管跨站腳本攻擊(CWE-79)仍穩居榜單首位,但與去年的榜單相比,多個弱點的排名出現較大變動,其中排名上升幅度最大的包括缺失授權(CWE-862)、空指針解引用(CWE-476)、缺失身份驗證(CWE-306)。
本年度新增入選榜單的高危害、高流行度弱點包括:經典緩沖區溢出(CWE-120)、基于棧的緩沖區溢出(CWE-121)、基于堆的緩沖區溢出(CWE-122)、訪問控制不當(CWE-284)、通過用戶可控密鑰繞過授權(CWE-639)、無限制或限流的資源分配(CWE-770)。
這類弱點往往易被發現和利用,會催生可被利用的安全漏洞,讓攻擊者得以完全控制目標系統、竊取數據,或是導致應用程序無法正常運行。榜單明確了攻擊者入侵系統、竊取數據或破壞服務時,所利用的最關鍵的軟件弱點。
參考及來源:https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
