本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2023/06/30 InfoSecurity — 米国政府が発表したのは、これまでの2年間において、最も一般的であり、影響力の大きかったソフトウェア欠陥のリストである。この CWE Top-25 リストは、Homeland Security Systems Engineering と Development Institute によりアナウンスされたが、Department of Homeland Security と 非営利団体 MITRE がサポートするものである。ソフトウェアの弱点とは、脆弱性につながるエラー/バグ/欠陥などを指すものだ。
CVE (Common Vulnerabilities and Exposures) は、発見された脆弱性を識別するための番号を提供するが、CWE (Common Weakness Enumeration) は、脆弱性の種類を示す用語集のようなものである。つまり、特定の脆弱性ではなく、ソフトウェアの弱点の種類を指している。
新たに発表されたリストのトップは “out-of-bounds write” であり、それにクロスサイト・スクリプティングと SQL インジェクションが続く。
米国の CISA は、「CWE Top 25 は、National Vulnerability Data (NVD) の公開脆弱性データを分析し、CWE へのマッピングを行うという、これまでの2年間の作業により算出されている。これらの弱点は、ソフトウェアの深刻な脆弱性につながるものだ。多くの場合において、これらの脆弱性を悪用する攻撃者は、システムの制御の不正な取得や、データの窃取、アプリケーションの妨害などを可能にしている」と説明している。
2023 CWE Top 25 には、CISA の Known Exploited Vulnerabilities Catalog (KEV) データセット内の、最近になって CVE レコードが更新された脆弱性データも組み込まれている。CISA は、開発者や製品のセキュリティ・チームに対して、Top-25 リストを確認し、推奨される緩和策を採用するよう促している。
・・・
|
|
|
https://iototsecnews.jp/2023/06/30/mitre-announces-most-dangerous-software-weaknesses/ |
IoT OT Security Newsとは
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。
https://www.grcs.co.jp/products/z-today