Определены 25 самых серьезных уязвимостей для ПО
Команда MITRE представила свой традиционный рейтинг 25 самых опасных уязвимостей. Обновленный рейтинг содержит бреши, которые представляли наибольшую опасность для программного обеспечения за последние два года.
Первое место в нем сохранила уязвимость CWE-787, связанная с записью данных за границами буфера. Второй стала CWE-79, подразумевающая возможность межсайтового скриптинга. Уязвимость CWE-89, которая дает возможность выполнять инъекции SQL, замкнула тройку лидеров.
Среди других проблем, которые эксперты сочли максимально опасными, некорректное использование динамической памяти уязвимостью Use After Free, инъекции команд OS, неправильная проверка ввода и другие. Всего объектом изучения оказались 43 996 уязвимости, имеющие собственный номер по CVE. Изученные для рейтинга-2023 проблемы безопасности, были выявлены в 2021 и 2022 годах.
Все вошедшие в список бреши имеют идентификационный номер CWE, то есть Common Weakness Enumeration. Всего в рамках CWE исследователи выделяют более шести сотен различных классов.
похожие материалы
Claude пишeт вредоносный код: эксперты разобрали, как ИИ используют для создания малвари
Исследователи продемонстрировали, что языковую модель Claude можно использовать для генерации вредоносного кода, если корректно сформулировать запросы и обойти встроенные ограничения.
Массовый угон WhatsApp*-аккаунтов остановлен: армянская CERT раскрыла схему с перехватом SMS
Армянская команда реагирования на киберинциденты (CERT-AM) остановила масштабную кампанию по захвату аккаунтов WhatsApp*.
Массовый угон WhatsApp*-аккаунтов остановлен: армянская CERT раскрыла схему с перехватом SMS
Армянская команда реагирования на киберинциденты (CERT-AM) остановила масштабную кампанию по захвату аккаунтов WhatsApp*.
APT-группировка атаковала телеком СНГ двумя бэкдорами
Эксперты Positive Technologies сообщили о целевых атаках на телекоммуникационные компании в Кыргызстане и Таджикистане.
Claude пишeт вредоносный код: эксперты разобрали, как ИИ используют для создания малвари
Исследователи продемонстрировали, что языковую модель Claude можно использовать для генерации вредоносного кода, если корректно сформулировать запросы и обойти встроенные ограничения.
Это конец? Названа дата полной блокировки Telegram в России
В Telegram-канале «Baza» появилась информация о возможной полной блокировке мессенджера Telegram на территории России с 1 апреля.
Производители подтвердили совместимость продуктов «Гарда Data Masking» и Jatoba
Совместимость продуктов компаний «Гарда» и «Газинформсервис» помогает компаниям, одновременно эксплуатирующим СУБД различных вендоров, нивелировать угрозы, которые возникают при работе с персональными данными, корпоративной и иной конфиденциальной информацией.
800 000 сайтов под угрозой: в популярном WordPress-плагине нашли опасную уязвимость загрузки файлов
Специалисты Wordfence сообщили об уязвимости типа arbitrary file upload в плагине WPvivid Backup для WordPress, которая затрагивает более 800 000 сайтов.
Старые смартфоны и роутеры превратились в оружие: поддержанные гаджеты массово используют для DDoS-атак
Поддержанные и устаревшие устройства все чаще становятся инструментом для проведения DDoS-атак.
ChatGPT уходит в «режим зищиты»: OpenAI включает Lockdown Mode для тех, кого могут атаковать
OpenAI представила в ChatGPT новый механизм защиты - Lockdown Mode и систему Elevated Risk Labels, предназначенные для пользователей, находящихся в зоне повышенного цифрового риска.