Overslaan en naar de inhoud gaan

Dit zijn de 25 belangrijkste kwetsbaarheden in software

De not-for-profit onderzoeksorganisatie MITRE Corporation heeft zijn jaarlijkse lijst met de meestvoorkomende softwarefouten gepubliceerd. Op nummer 1 staat 'Out-of-bounds Write', een probleem dat stuivertje wisselde met het veelvoorkomende 'Cross-site Scripting'-probleem.
wanhoop angst bezorgd
© Shutterstock
Shutterstock

Bij een Out-of-bounds Write (CWE-787) schrijft de software buiten de grenzen van een gedefinieerde buffer. Dat leidt tot corrupte gegevens en vaak tot het crashen van het systeem. Maar het biedt kwaadwillenden ook mogelijkheden om ongeoorloofd code tot expressie te brengen. Veel van de kwetsbaarheden die MITRE in de 2021 Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses opsomt, hebben deze gevolgen.

"Deze kwetsbaarheden zijn gevaarlijk omdat ze vaak makkelijk te vinden en te misbruiken zijn. Ze maken het mogelijk dat kwaadwillenden een systeem overnemen, gegevens stelen of het onmogelijk maken om een applicatie te gebruiken", stelt MITRE in een blog naar aanleiding van de publicatie van de nieuwste CWE-top 25.

De tweede op de lijst, gezakt van de eerste plaats op de lijst van vorig jaar, is  CWE-79: Improper Neutralization of Input During Web Page Generation. Het is een veelgemaakte fout die cross-site scripting mogelijk maakt. De input die door externen op een website kan worden achtergelaten, wordt niet afdoende geneutraliseerd voordat deze wordt geplaatst op de site. Daardoor is het mogelijk een kwaadaardig script te plaatsen waarmee aanvallers meer rechten op de site kunnen krijgen.

Ook nummer drie CWE-125 'Out-of-bounds Read' en nummer vier CWE-20 'Improper Input Validation' op de lijst dit jaar zijn van plek gewisseld ten opzichte van vorig jaar.

Snelle stijger in de lijst

Nummer vijf is een nieuwkomer die maar liefst vijf plekken op de lijst omhoogschoot. CWE-78  'OS Command Injection' of vollediger: Improper Neutralization of Special Elements used in an OS Command. De software genereert een opdracht aan het besturingssysteem op basis van een upstream component dat onder invloed staat van externe input. Daarbij is niet voldoende aandacht besteed aan het neutraliseren van speciale elementen die de opdracht aan het besturingssysteem op een ongewenste manier kunnen beïnvloeden. Kwaadwillenden kunnen zo direct invloed krijgen op het besturingssysteem.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in