Cybersécurité : les vulnérabilités logicielles les plus dangereuses et les plus courantes

Spread the love
  • Yum

Cybersécurité : les vulnérabilités logicielles les plus dangereuses et les plus courantes

L’organisation américaine MITRE a publié sa liste des vulnérabilités les plus répandues et les plus critiques dans les logiciels, dont beaucoup sont faciles à trouver et peuvent être exploitées par des cybercriminels.

L’édition 2021 de l’étude Top 25 Most Dangerous Software Weaknesses détaille les problèmes de sécurité les plus courants et les plus importants.

La liste est basée sur les données publiées sur les répertoires de Common Vunerability Exposure (CVE), ainsi que sur les données de la National Vulnerability Database (NVD) du National Institute of Standards and Technology (NIST) et les scores CVSS (Common Vulnerability Scoring System) des CVE.

publicité

Top 3

En tête de liste, avec le score le plus élevé, se trouve CWE-787 : Out-of-bounds Write (Écriture hors limite), une vulnérabilité où le logiciel écrit après la fin, ou avant le début, du tampon prévu. Comme beaucoup de vulnérabilités de la liste, elle peut entraîner la corruption de données et le plantage de systèmes, ainsi que la possibilité pour les attaquants d’exécuter du code.

“Ces vulnérabilités sont dangereuses car elles sont souvent faciles à trouver, à exploiter et peuvent permettre à des adversaires de prendre complètement le contrôle d’un système, de voler des données ou d’empêcher une application de fonctionner”, a déclaré Mitre dans un billet de blog.

Mitre Corporation est une organisation américaine à but non lucratif à l’origine du cadre MITRE ATT&CK – une base de données accessible dans le monde entier sur les tactiques et techniques des adversaires, basées sur des observations du monde réel.

La deuxième vulnérabilité de la liste est CWE-79 : Improper Neutralization of Input During Web Page Generation (Neutralisation incorrecte des entrées lors de la génération de pages Web), une vulnérabilité de type “cross-site scripting” qui ne neutralise pas correctement les entrées avant d’être placées en sortie sur un site Web. Cela peut conduire les attaquants à injecter des scripts malveillants et leur permettre de voler des informations sensibles et d’envoyer d’autres requêtes malveillantes, en particulier s’ils parviennent à obtenir des privilèges d’administrateur.

Le troisième point de la liste est CWE-125 : Out-of-bounds Read (Lecture hors limite), une vulnérabilité qui peut permettre aux attaquants de lire des informations sensibles à partir d’autres emplacements de mémoire ou de provoquer un crash.

Bien que de nombreuses vulnérabilités soient potentiellement très dommageables si elles sont découvertes et exploitées par des cybercriminels, les faiblesses peuvent souvent être contrées, en particulier pour celles pour lesquelles un correctif de sécurité est disponible. L’application de correctifs de sécurité pour corriger les vulnérabilités connues est l’une des principales mesures que les organisations peuvent prendre pour protéger leurs réseaux contre les cyberattaques et les intrusions.

Le Top 25 de CWE 2021 utilise les données NVD des années 2019 et 2020, qui se composent d’environ 32 500 CVE associés à une vulnérabilité. La liste complète est disponible sur le site Web du CWE.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: