miércoles, 27 de noviembre de 2019

Las 25 vulnerabilidades más peligrosas se actualizan después de 8 años


Por primera vez en ocho años, la lista con las 25 vulnerabilidades de software más peligrosas recibió una actualización que promete ser relevante para los tiempos actuales.

Las entradas se seleccionaron en función de criterios objetivos en comparación con la lista anterior, teniendo en cuenta los informes de los investigadores de seguridad junto con la prevalencia, la gravedad y la explotación en el mundo real.

Nuevo defecto en el primer puesto

Una nueva vulnerabilidad ahora está en la parte superior de la lista, una posición que anteriormente ocupaba la inyección SQL, que ha caído al sexto lugar.

"Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria" es el nombre de la amenaza con la puntuación calculada más alta, aunque esto no refleja su gravedad.

"Las debilidades que rara vez se explotan no recibirán una puntuación alta, independientemente de la gravedad típica asociada con cualquier explotación. Esto tiene sentido, ya que si los desarrolladores no están cometiendo un error en particular, entonces la debilidad no debería destacarse en el CWE Top 25". - INGLETE

La vulnerabilidad con el puntaje de severidad promedio más alto, 9.129 de 10, es la inyección SQL, ya que tiene una alta probabilidad de ser explotada e impactada porque puede comprometer las bases de datos con datos confidenciales.

La secuencia de comandos entre sitios (XSS) ocupa el segundo lugar en la lista, a pesar de tener un puntaje promedio de baja gravedad de 5.778. Esta posición se explica por la alta probabilidad de explotación que podría permitir a un atacante ejecutar código o comandos no autorizados y su prevalencia en los informes.

'Validación de entrada incorrecta' ocupa el tercer lugar en la lista, con un puntaje de severidad de 7.242. También tiene altas posibilidades de ser explotado y el potencial de daño varía desde la denegación de servicio, salir o reiniciar la aplicación vulnerable hasta leer o modificar la memoria y ejecutar códigos o comandos no autorizados.

Rank
ID
Name
Score
[1]
Improper Restriction of Operations within the Bounds of a Memory Buffer
75.56
[2]
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
45.69
[3]
Improper Input Validation
43.61
[4]
Information Exposure
32.12
[5]
Out-of-bounds Read
26.53
[6]
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
24.54
[7]
Use After Free
17.94
[8]
Integer Overflow or Wraparound
17.35
[9]
Cross-Site Request Forgery (CSRF)
15.54
[10]
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
14.10
[11]
Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
11.47
[12]
Out-of-bounds Write
11.08
[13]
Improper Authentication
10.78
[14]
NULL Pointer Dereference
9.74
[15]
Incorrect Permission Assignment for Critical Resource
6.33
[16]
Unrestricted Upload of File with Dangerous Type
5.50
[17]
Improper Restriction of XML External Entity Reference
5.48
[18]
Improper Control of Generation of Code ('Code Injection')
5.36
[19]
Use of Hard-coded Credentials
5.12
[20]
Uncontrolled Resource Consumption
5.04
[21]
Missing Release of Resource after Effective Lifetime
5.04
[22]
Untrusted Search Path
4.40
[23]
Deserialization of Untrusted Data
4.30
[24]
Improper Privilege Management
4.23
[25]
Improper Certificate Validation
4.06

La compilación de esta lista fue un proceso basado en datos que dependía de vulnerabilidades reportadas públicamente en la Base de Datos Nacional de Vulnerabilidades (NVD).

El responsable de actualizar las 25 principales fallas de seguridad es la Ingeniería y Desarrollo de Sistemas de Seguridad Nacional (HSSED) bajo la Dirección de Ciencia y Tecnología de los Estados Unidos dentro del Departamento de Seguridad Nacional de los Estados Unidos (DHS).

El propósito de la actualización es ayudar a mejorar la resistencia de la ciberseguridad. La lista pretende ser un documento de orientación diseñado para ayudar a los desarrolladores a crear software más seguro antes de lanzarlo al mercado. ChrisLevendis, dice en una publicación de blog hoy que el enfoque basado en datos refleja los problemas vistos en el mundo real.


No olvides Compartir...


Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes