Development

Security
zorgen

Dit zijn de 25 belangrijkste kwetsbaarheden in software

Top 5 kent één nieuwe binnenkomer.

© Shutterstock shellygraphy
26 juli 2021

Top 5 kent één nieuwe binnenkomer.

De not-for-profit onderzoeksorganisatie MITRE Corporation heeft zijn jaarlijkse lijst met de meestvoorkomende softwarefouten gepubliceerd. Op nummer 1 staat 'Out-of-bounds Write', een probleem dat stuivertje wisselde met het veelvoorkomende 'Cross-site Scripting'-probleem.

Bij een Out-of-bounds Write (CWE-787) schrijft de software buiten de grenzen van een gedefinieerde buffer. Dat leidt tot corrupte gegevens en vaak tot het crashen van het systeem. Maar het biedt kwaadwillenden ook mogelijkheden om ongeoorloofd code tot expressie te brengen. Veel van de kwetsbaarheden die MITRE in de 2021 Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses opsomt, hebben deze gevolgen.

"Deze kwetsbaarheden zijn gevaarlijk omdat ze vaak makkelijk te vinden en te misbruiken zijn. Ze maken het mogelijk dat kwaadwillenden een systeem overnemen, gegevens stelen of het onmogelijk maken om een applicatie te gebruiken", stelt MITRE in een blog naar aanleiding van de publicatie van de nieuwste CWE-top 25.

De tweede op de lijst, gezakt van de eerste plaats op de lijst van vorig jaar, is  CWE-79: Improper Neutralization of Input During Web Page Generation. Het is een veelgemaakte fout die cross-site scripting mogelijk maakt. De input die door externen op een website kan worden achtergelaten, wordt niet afdoende geneutraliseerd voordat deze wordt geplaatst op de site. Daardoor is het mogelijk een kwaadaardig script te plaatsen waarmee aanvallers meer rechten op de site kunnen krijgen.

Ook nummer drie CWE-125 'Out-of-bounds Read' en nummer vier CWE-20 'Improper Input Validation' op de lijst dit jaar zijn van plek gewisseld ten opzichte van vorig jaar.

Snelle stijger in de lijst

Nummer vijf is een nieuwkomer die maar liefst vijf plekken op de lijst omhoogschoot. CWE-78  'OS Command Injection' of vollediger: Improper Neutralization of Special Elements used in an OS Command. De software genereert een opdracht aan het besturingssysteem op basis van een upstream component dat onder invloed staat van externe input. Daarbij is niet voldoende aandacht besteed aan het neutraliseren van speciale elementen die de opdracht aan het besturingssysteem op een ongewenste manier kunnen beïnvloeden. Kwaadwillenden kunnen zo direct invloed krijgen op het besturingssysteem.

Lees meer over
Lees meer over Development OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.