MITRE 分享 2024 年最危险的 25 个软件弱点

MITRE 分享了今年最常见、最危险的一年 25 一个软件弱点目录，包括 2023 年 6 月至 2024 年 6 每月公布一次 31,000 多个漏洞。

软体弱点是指在软体代码、架构、实现或设计中，攻击者可以使用它们来破坏易于攻击软体的系统，从而获得对受影响设备的控制权，浏览敏感数据或触发拒绝服务攻击。

MITRE 表示:“这些漏洞一般很容易发现和使用，但可能会导致可利用的漏洞，使对手能够完全接管系统，窃取数据或阻止应用程序运行。”

揭示这些漏洞的主要原因可以为投资、政策和实践提供有力的指导，从一开始就避免这些漏洞，从而造福行业和政府利益相关者。

为建立今年的排名，MITRE 在分析了 31,770 个 CVE 记录中的漏洞后，每个漏洞都会根据其严重程度和频率进行评分。这些漏洞“将得益于再次投影和分析” 2023 年与 2024 年度报告，重点添加到年度报告中 CISA 利用已知漏洞的安全漏洞。 KEV 目录。

这份年度清单确定了攻击者经常使用的最关键的软件漏洞，以危害系统，窃取敏感数据或破坏基本服务， CISA 强烈鼓励企业审查这个目录，并使用它来告诉他们软件的安全设置。在开发和采购过程中优先考虑这些弱点，有助于防止软件生命周期核心漏洞。

CISA 还定期发布“设计安全”提示，重点显示知名且已记录的漏洞。虽然有可用且有效的缓解措施，但这些漏洞尚未从手机中清除，有些是为了应对持续的恶意活动而发布的。

5 月和 3 2月，网络安全机构发布了两个“设计安全”提示，督促技术高管和软件开发人员防止其产品和代码中的路径遍历和路径 SQL 注入 ( SQLi ) 漏洞。

上周，FBI、NSA 去年，网络安全机构发布了 15 一份常用的安全漏洞清单，表示攻击者主要针对零日漏洞(已披露但尚未修复的安全漏洞) ）。

到 2023 2008年，大多数最常用的漏洞最初被检测为零日漏洞，这比较 2022 每年都在上升，当时最常用的漏洞只有不到一半被检测为零日漏洞。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com