Die US-Non-Profit-Organisation Mitre hat die 25 gefährlichsten Schwachstellen in Software des Jahres 2021 gekürt. Die als Common Weakness Enumeration (CWE) bezeichnete Liste gewichtet Sicherheitslücken nach ihrer Verbreitung und ihren Auswirkungen. Sie nutzt Daten der Common Vulnerabilities and Exposures (CVE) und der National Vulnerability Database (NVD) des National Institure of Standards and Technology (NIST). Außerdem werden die Bewertungen einzelner CVEs im Common Vulnerability Scoring System (CVSS) berücksichtigt.
An oberster Stelle stehen Out-of-Bounds-Speicherfehler. Bei dieser Art von Schwachstellen schreibt eine Software Daten außerhalb des vorgesehenen Speicherpuffers. Das kann zu einer Beschädigung von Daten sowie einem Absturz eines Systems führen – Angreifer sind unter Umständen in der Lage, Schadcode auszuführen.
“Diese Schwachstellen sind gefährlich, weil sie oft leicht zu finden und auszunutzen sind und es Angreifern ermöglichen können, ein System komplett zu übernehmen, Daten zu stehlen oder den Betrieb einer Anwendung verhindern”, so Mitre in einem Blogeintrag.
Eine unsachgemäße Neutralisierung von Eingaben während der Generierung einer Website (CWE-125) schaffte es auf den zweiten Platz. Dabei handelt es sich um eine Cross-Site-Scripting-Lücke, bei der Eingaben fehlerhaft neutralisiert werden, bevor sie als Ausgaben auf einer Website platziert werden. Das wiederum begünstigt das Einschleusen von schädlichen Skripte, um vertrauliche Daten zu stehlen und andere bösartige Anfragen auszuführen.
Der dritte Platz wiederum ist eine Abwandlung der Spitzenposition: CWE-125 beschreibt einen Out-of-Bounds-Lesefehler. Ein Angreifer ist also in der Lage, Daten von außerhalb der vorgesehenen Speicherbereichs zu lesen und ebenfalls einen Absturz auszulösen.
Für die aktuelle Liste wurden NVD-Daten der Jahre 2019 und 2020 ausgewertet. Insgesamt flossen rund 32.500 CVEs, also 32.500 unterschiedliche Sicherheitslücken, in die Liste ein.
Egal wie schwerwiegend eine Anfälligkeit ist, der beste Schutz vor einem Angriff von Cyberkriminellen ist die zeitnahe Installation von allen verfügbaren Sicherheitspatches für bekannte Schwachstellen.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…