NotĆ­cias de dispositivos mĆ³veis, gadgets, aplicativos Android

Mais 15 vulnerabilidades adicionadas aos 25 softwares mais perigosos do CWE de 2023

A fundaĆ§Ć£o CVE MITRE divulgou a lista de ā€œNa cĆŗspideā€Em que muitos dos CWEs (Common Weakness Enumerations) aumentaram e diminuĆ­ram em suas classificaƧƵes entre 2022 e 2023.

CVE divulga os 25 pontos fracos de software mais perigosos que ajudam as organizaƧƵes a mitigar os riscos de seguranƧa de software.

No entanto, as vulnerabilidades explorĆ”veis ā€‹ā€‹alĆ©m destas 25 principais tambĆ©m devem ser levadas em consideraĆ§Ć£o, pois tambĆ©m representam uma grande ameaƧa para uma organizaĆ§Ć£o.

2023 ā€œNa cĆŗspideā€

De acordo com a anĆ”lise da fundaĆ§Ć£o MITRE, entre as 26-40 principais listas de vulnerabilidades, trĆŖs vulnerabilidades aumentaram em sua classificaĆ§Ć£o em comparaĆ§Ć£o com sua classificaĆ§Ć£o em 2022, que inclui Bypass de autorizaĆ§Ć£o por meio de chave controlada pelo usuĆ”rio, que passa para a posiĆ§Ć£o 38 de posiĆ§Ć£o # 56 em 2022.

A alocaĆ§Ć£o de recursos sem limites ou limitaĆ§Ć£o aumentou sua classificaĆ§Ć£o da posiĆ§Ć£o 42 em 2022 para a posiĆ§Ć£o 29 em 2023. A afirmaĆ§Ć£o alcanƧƔvel tambĆ©m aumentou de posiĆ§Ć£o da posiĆ§Ć£o 44 em 2022 para a posiĆ§Ć£o 26 em 2023.

A afirmaĆ§Ć£o alcanƧƔvel foi a Ćŗnica vulnerabilidade a aumentar 18 classificaƧƵes, que Ć© o maior aumento em 2023. Seguido por Bypass de autorizaĆ§Ć£o por meio de chave controlada pelo usuĆ”rio, que aumentou 16 classificaƧƵes posteriormente, seguido por AlocaĆ§Ć£o de recursos sem limites ou limitaĆ§Ć£o, que aumentou 13 classificaƧƵes.

  1. AsserĆ§Ć£o alcanƧƔvel CWE-617
  2. Elemento de caminho de pesquisa nĆ£o controlado CWE-427
  3. RestriĆ§Ć£o inadequada de referĆŖncia de entidade externa XML CWE-611
  4. AlocaĆ§Ć£o de recursos sem limites ou estrangulamento CWE-770
  5. ExposiĆ§Ć£o de informaƧƵes confidenciais a um ator nĆ£o autorizado CWE-200
  6. AtribuiĆ§Ć£o incorreta de permissĆ£o para recurso crĆ­tico CWE-732
  7. Redirecionamento de URL para site nĆ£o confiĆ”vel (‘Redirecionamento aberto’) CWE-601
  8. ModificaĆ§Ć£o inadequadamente controlada de atributos de protĆ³tipo de objeto (‘poluiĆ§Ć£o de protĆ³tipo’) CWE-1321
  9. ValidaĆ§Ć£o de certificado inadequada CWE-295
  10. Credenciais insuficientemente protegidas CWE-522
  11. Falta de liberaĆ§Ć£o de memĆ³ria apĆ³s vida Ćŗtil efetiva CWE-401
  12. Consumo descontrolado de recursos CWE-400
  13. Ignorar autorizaĆ§Ć£o por meio de chave controlada pelo usuĆ”rio CWE-639
  14. ResoluĆ§Ć£o inadequada de link antes do acesso ao arquivo (‘Link a seguir’) CWE-59
  15. ExposiĆ§Ć£o de recursos Ć  esfera errada CWE-668
NĆ³s recomendamos:  Galaxy S7 ou iPhone 6S, quem tem mais dificuldade?

Vulnerabilidades retiradas da lista das 25 principais de 2022

Duas vulnerabilidades que estavam presentes na lista das 25 principais de 2022 caĆ­ram para 26-40 em 2023, o que inclui restriĆ§Ć£o inadequada de referĆŖncia de entidade externa XML, que caiu da posiĆ§Ć£o 24 para 28.

Outra vulnerabilidade que foi retirada da lista das 25 primeiras foi o consumo descontrolado de recursos, que caiu da posiĆ§Ć£o 23 em 2022 para a posiĆ§Ć£o 37 em 2023. Esta vulnerabilidade foi a maior queda na lista entre as classificaƧƵes 1-40 que diminuiu 14 graduaƧƵes.

No entanto, trĆŖs vulnerabilidades foram eliminadas do topo 1Lista de classificaĆ§Ć£o -40, que inclui armazenamento de informaƧƵes confidenciais em texto nĆ£o criptografado (de # 40 a # 43), acesso de recursos usando tipo incompatĆ­vel (confusĆ£o de tipos) (de # 31 a # 46) e transmissĆ£o de informaƧƵes confidenciais em texto nĆ£o criptografado (de # 39). para #48).

A fundaĆ§Ć£o CVE MITRE divulgou uma lista completa de seus ā€œNa cĆŗspideā€Vulnerabilidades que mostra a lista atual das principais vulnerabilidades de 2023.