Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

危険な脆弱性タイプ、2023年の「トップ25」

MITERが運営する国土安全保証システム技術開発研究所は、ソフトウェアの脆弱性を調査し、「2023年の危険な脆弱性タイプトップ25」を発表した。

2021年、2022年にCVE番号が付与された4万3996件の脆弱性について、共通脆弱性評価システム「CVSS」で分類された「CWE(Common Weakness Enumeration)」をもとに分析。ランキングとして取りまとめたもの。

評価にあたっては米国立標準技術研究所(NIST)の脆弱性データベース「NVD」における分類を活用。重要度なども考慮してスコアを算出した。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)の「悪用が確認された脆弱性カタログ(KEV)」における登録状況なども示している。

もっとも危険とされた脆弱性タイプは、前回2022年から変わらず「域外への書き込み(CWE-787)」。「KEV」においても70件の登録があり、44件で2番目に多かった「Use After Free(CWE-416)」と比較しても突出している。

前年と比較的大きな変化が見られたのは、前回7位だった「Use After Free(CWE-416)」が4位へと上昇。「Missing Authorization(CWE-862)」が16位から11位へと上昇した。

(Security NEXT - 2023/06/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
土地改良区一覧表に個人情報、サイトに誤掲載 - 茨城県
「TSUBAME」の観測グラフを公開休止 - より利便性の高いデータ提供を検討
顧客情報含むUSBメモリが電車内で盗難 - トヨタホーム東京
サイバー攻撃被害が判明、影響範囲など調査 - 異物検査機メーカー
動画配信サービス「Hulu」にPWリスト攻撃 - 強制リセット実施
「Spring Framework」にパストラバーサルの脆弱性
「Spring Framework」に複数のDoS脆弱性 - アップデートで修正
「Apache OFBiz」に複数の脆弱性 - アップデートで修正
Ruby環境向け「SAMLライブラリ」に深刻な脆弱性