危険な脆弱性タイプ、2023年の「トップ25」
MITERが運営する国土安全保証システム技術開発研究所は、ソフトウェアの脆弱性を調査し、「2023年の危険な脆弱性タイプトップ25」を発表した。
2021年、2022年にCVE番号が付与された4万3996件の脆弱性について、共通脆弱性評価システム「CVSS」で分類された「CWE(Common Weakness Enumeration)」をもとに分析。ランキングとして取りまとめたもの。
評価にあたっては米国立標準技術研究所(NIST)の脆弱性データベース「NVD」における分類を活用。重要度なども考慮してスコアを算出した。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)の「悪用が確認された脆弱性カタログ(KEV)」における登録状況なども示している。
もっとも危険とされた脆弱性タイプは、前回2022年から変わらず「域外への書き込み(CWE-787)」。「KEV」においても70件の登録があり、44件で2番目に多かった「Use After Free(CWE-416)」と比較しても突出している。
前年と比較的大きな変化が見られたのは、前回7位だった「Use After Free(CWE-416)」が4位へと上昇。「Missing Authorization(CWE-862)」が16位から11位へと上昇した。
(Security NEXT - 2023/06/30 )
ツイート
PR
関連記事
仮想環境を狙うマルウェア「BRICKSTORM」 - 中国政府系攻撃者が悪用
海外子会社にサイバー攻撃、詳細を調査 - FCLコンポーネント
市内4校で端末紛失、一部で保存データが不明 - 葛飾区
入学手続き案内メールを誤送信、合格者のメアド流出 - 山口大
研究者向けサイトに不正アクセス、非公開ページに書込 - 日本リウマチ学会
JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を
ウェブアプリフレームワーク「Django」に複数脆弱性 - アップデートが公開
「Next.js」にセキュリティアップデート - 「React」脆弱性が影響
アスクル、ウェブ経由の注文を再開
米セキュリティ機関、「ScadaBR」既知脆弱性の悪用に警告
