Die Common Weakness Enumeration Community hat ihre diesjährige Liste der 25 gefährlichsten Software-Schwachstellen
veröffentlicht. Bei den zusammengestellten Sicherheitslecks handelt es sich um die am häufigsten vorkommenden Lecks, die es Angreifern ermöglichen, Systeme zu übernehmen, Daten zu stehlen oder Anwendungen funktional zu beinträchtigen.
Zur Erstellung der diesjährigen Liste wurden insgesamt 37'899 CVE-Datensätze (Common Vulnerabilities and Exposures) aus den letzten beiden Kalenderjahren ausgewertet. Angeführt wird die Liste wie schon im Vorjahr von sogenannten Out-of-bounds Writes, womit im wesentlichen Pufferüberläufe gemeint sind. Auf Platz findet sich ebenfalls wie bereits auf der Vorjahresliste die ungenügende Prüfung von Dateneingaben (Cross-Site-Scripting) und auf dem dritten Platz stehen neu SQL Injections, die im Vorjahr noch auf Platz 6 figurierten.
Die CWE-Liste wird mittlerweile seit 2006 veröffentlicht, wobei das Klassifikationsschema laufend den Gegebenheiten angepasst wurde. Die CWE Community setzt sich mitunter zusammen aus Vertretern der Software-Industrie, Security-Spezialisten, Regierungsbehörden sowie Forschungseinrichtungen.
(rd)