Close Menu
Buffer overflow-type memory bugs remain the most dangerous vulnerabilities out there

Lỗi tràn bộ nhớ đệm vẫn là lỗ hổng nguy hiểm nhất hiện nay

4 phút để đọc

Tại sao nó quan trọng: Hàng năm, Viện Phát triển và Kỹ thuật Hệ thống An ninh Nội địa đưa ra danh sách liệt kê các điểm yếu phổ biến nhất trong phần mềm, dẫn đến các lỗ hổng phần mềm bị lạm dụng nhiều nhất. Vào năm 2023, những kẻ phạm tội tồi tệ nhất của năm trước vẫn chiếm những vị trí hàng đầu trong danh sách này.

Cảnh báo mới nhất từ ​​Cơ quan An ninh Cơ sở hạ tầng & An ninh mạng Hoa Kỳ (CISA), một cơ quan của Bộ An ninh Nội địa phụ trách vấn đề an ninh mạng và bảo mật cơ sở hạ tầng quan trọng, cung cấp thông tin cập nhật về 25 điểm yếu bảo mật nguy hiểm nhất trong các sản phẩm phần mềm. Danh sách Top 25 của CWE dựa trên dữ liệu công khai về các sự cố phần mềm được phát hiện trong hai năm qua, làm sáng tỏ tình trạng an ninh mạng khá đáng lo ngại ở Hoa Kỳ.

Theo Tập đoàn MITRE, thay mặt cho CISA và DHS, những điểm yếu phần mềm phổ biến và có ảnh hưởng nhất trên Top 25 của CWE danh sách thường dễ tìm và khai thác. Những vấn đề này có thể dẫn đến các lỗ hổng có thể khai thác, cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống, đánh sập máy chủ, đánh cắp dữ liệu hoặc làm gián đoạn ứng dụng.

Vào năm 2023, vị trí hàng đầu cho vấn đề CWE tồi tệ nhất vẫn giống như năm ngoái: viết ngoài giới hạn (CWE-787). Loại sự cố tràn bộ đệm này xảy ra khi một thói quen phần mềm ghi dữ liệu bên ngoài giới hạn của bộ đệm, ghi đè lên các vị trí bộ nhớ liền kề. Điều này có thể dẫn đến hỏng dữ liệu, sự cố hoặc thực thi mã. Viết mã bằng ngôn ngữ an toàn cho bộ nhớ như Rust có thể giảm thiểu đáng kể vấn đề.

Loi tran bo nho dem van la lo hong nguy TechTimes.vn Lỗi tràn bộ nhớ đệm vẫn là lỗ hổng nguy hiểm nhất hiện nay

Điểm yếu phần mềm xảy ra thường xuyên thứ hai trong danh sách CWE là CWE-79, là lỗi cross-site scripting (XSS) liên quan đến việc vệ sinh đầu vào của người dùng trên web không đúng cách. Lỗi thứ ba, CWE-89, có liên quan đến lỗi bảo mật SQL Injection, một dạng lỗi vệ sinh đầu vào khác. Danh sách hàng đầu của CWE năm nay dựa trên dữ liệu từ 43.996 bản ghi CVE về các lỗ hổng được phát hiện từ năm 2021 đến 2022.

Vị trí thứ tư thuộc về lỗ hổng Use After Free (CW-416), xếp thứ bảy vào năm ngoái. Lỗ hổng ngày càng phổ biến này liên quan đến các địa chỉ bộ nhớ vẫn được sử dụng sau khi được giải phóng, cho phép kẻ tấn công khai thác hành vi không phù hợp và có khả năng làm sập hệ điều hành hoặc máy chủ hoặc thực thi mã độc từ xa.

CWE ngày càng trở nên phổ biến trong các cuộc thảo luận về khả năng dễ bị tổn thương, vì cộng đồng cố gắng tránh các nguyên nhân cốt lõi của những vấn đề này và các lỗ hổng bảo mật mà chúng có thể tạo ra. Ngoài danh sách hàng đầu của CWE, MITRE dự kiến ​​sẽ phát hành một loạt bài báo vào mùa hè này trình bày chi tiết cách thông tin này có thể được sử dụng hiệu quả hơn trong cộng đồng bảo mật.

Nguồn: Tổng hợp – được thực hiện thử nghiệm bằng NLP và trí tuệ nhân tạo, vui lòng nhấn báo lỗi để góp ý

Chia sẻ.

Bài viết liên quan