从汇总表可以看出:
新增1个弱点:Weak-Base CWE-1386:Windows 连接点/挂载点上的不屈安操作(Insecure Operation on Windows Junction / Mount Point)
CWE 分类: CWE-1388:物理访问问题(物理访问问题和疑虑)
查看 CWE-1387:CWE Top 25 (2022)(2022 年 CWE 前 25 大最危险软件弱点中的弱点)
下面我们来的看下详细弱点的变动。
1.1. CWE-1386:Windows 连接点/挂载点上的不屈安操作这是个新增的Windows的问题,详细位置如下图:
这个新弱点被划分在CWE-664(在生命周期中对资源的掌握不恰当)下CWE-706(利用禁绝确的解析名称或索引), 以及CWE-59(在文件访问前对链接解析不恰当(链接跟随))下的一个子弱点。
在 Windows 中,NTFS5 许可文件系统可以对工具天生重解析点(reparse points)。
连接点: 运用程序可以创建从一个目录到另一个目录的硬链接,称为连接点。挂载点: 创建从目录到驱动器号的映射,称为挂载点。Windows文件或者目录可以包含一个重解析点,它是一个用户自定义数据的凑集。储存它们的程序和解析处理这些数据文件的系统过滤器能识别这些数据的格式。当一个运用程序设置了一个重解析点,它在保存数据时将添加一个唯一的重解析标签用于标示所存储的数据。当一个文件系统打开一个带重解析点的文件时,首先考试测验探求由重解析点所标识文件格式关联的文件系统过滤器,如果找到文件系统过滤器,过滤器处理重解析点数据所指示的文件。如果没有找到过滤器,那么打开文件的操作失落败。
CWE-1386是由于windows打开一个文件或目录时,如果该文件或目录关联到一个目标掌握范围之外的连接点或挂载点,则可能许可攻击者使软件读取、写入、删除或以其他办法对未经授权的文件进行操作。
如果一个文件被特权程序利用,它可以被一个敏感文件的硬链接更换(例如,AUTOEXEC.BAT),那么攻击者可以提升特权。当进程打开文件时,攻击者可以冒用该进程的特权,诱骗特权进程读取、修正或删除敏感文件,阻挡程序准确处理数据,操作也可以指向注册表和旗子暗记量。
例如:CVE-2021-26426,特权做事许可攻击者利用目录连接删除未经授权的文件,从而导致以 SYSTEM 身份实行任意代码。
1.2. CWE-1388:物理访问问题这是个硬件设计上新增的硬件分类,详细如下图。
老样子,硬件问题不是我的专长,不做过多的解读。
2. CWE-1387:CWE前25名 (2022)间隔2021年的《CWE发布2021年最危险的25种软件毛病》差不多刚好一年。岁月如梭,光阴似箭,好快!
又是一年荷花盛。
今年的排行榜
这个排名是CWE的团队,依据美国国家标准与技能研究院 (National Institute of Standards and Technology(NIST))) 的国家漏洞库(National Vulnerability Database(NVD)) 记录的表露漏洞(Common Vulnerabilities and Exposures(CVE)), 以及网络安全和根本举动步伐安全局 (Cybersecurity and Infrastructure Security局 (CISA))的已知表露漏洞目录(已知被利用的漏洞目录(KEV)), 通过通用毛病评分系统(COMMON漏洞评分系统 (CVSS)))对每个毛病进行评分。排名统计了2020 到2021年的37,899 个CVE,每个CVE根据问题的发生率和严重程度的一个公式打算得分,终极得到问题的排名。
详细算法可参考 《话说CWE 4.2的新视图-云社区-华为云》。
2.1. 排名变动情形详细变动如下图:上升最快的名单:CWE-362:利用共享资源的并发实行不恰当同步问题(竞争条件): 从 33 上升到 22;
CWE-94:对天生代码的掌握不恰当(代码注入): 从 28 上升到 25;
CWE-400:未加掌握的资源花费(资源穷尽): 从 27 上升到 23;
CWE-77:在命令中利用的分外元素转义处理不恰当(命令注入)): 从25 上升到 17;
CWE-476:空指针解引用: 从 15 上升到 11。
低落最快的名单:CWE-306:关键功能的认证机制缺失落: 从 11 低落到 18;
CWE-200:信息透露: 从 20 低落到 33;
CWE-522:不充分的凭据保护机制: 从 21 低落到 38;
CWE-732:关键资源的禁绝确权限付与: 从 22 低落到 30。
新进前25的有:CWE-362:利用共享资源的并发实行不恰当同步问题(竞争条件): 从 33 上升到 22;
CWE-94:对天生代码的掌握不恰当(代码注入): 从 28 上升到 25;
CWE-400:未加掌握的资源花费(资源穷尽): 从 27 上升到 23;
跌出前25的有:CWE-200:信息透露: 从 20 低落到 33;
CWE-522:不充分的凭据保护机制: 从 21 低落到 38;
CWE-732:关键资源的禁绝确权限付与: 从 22 低落到 30。
2.2. TOP 25的记分明细2.3. 排名统计的改进为了更好的让人们明白每一个毛病的特性,在毛病的映射上,只管即便映射到更细力度的毛病列举类型上,比如base、Variant、Compound,这样有利于从更细粒度上办理问题。以是TOP 25中的CWE的类型正逐步从支柱(pillar)、类(Class) 向更细力度的毛病列举类型base、Variant、Compound上过度。
比如:
Class/Pillar 从2020年的36%,降到现在的28%;Class 从2019年的43%,降到现在的16%;Base/Var/Comp 从2019年的 57%上升到84%;对应到base类型的问题,从2019年的 50% 提升到现在的 76%。注:CWE的列举类型详见:《话说CWE 4.2的新视图-云社区-华为云》。
3. 结论前十位的毛病变动不大,紧张还是内存读写造成的缓冲区溢出,以及外部输入校验所带来的各种注入问题;内存安全问题是C措辞指针的灵巧性给我们带来的后遗症,也一贯是困扰我们的紧张安全问题。现在安全性已经成为软件开拓的主要需求。新兴的Rust措辞是否能够给在内存管理方面带来较大的改进,还须要韶光的证明;或者在内存安全和编程灵巧性的平衡上,探求一种更随意马虎被广大开拓者接管的新措辞;外部输入引发的各种注入类问题,在今后相称长的一段韶光会长期伴随者我们。零信赖、供应链安全框架的提出,虽然在安全观点和设计辅导上达到了一个新的高度,但在软件运用落地时,还取决于广大的开拓职员对安全意识的逐步提高,从而在代码中有效的实行各种对外部输入的有效的检测,以及各种凭据的有效验证。当然凭据的校验可以通过利用安全模块来进一步降落开拓中的安全风险;在TOP 25的数据统计上,CWE在只管即便将各种软件问题归结到更细力度的问题分类上。通过这些年新版本的快速发布,已经增加了相称多的细分类型(Base/Variant/Compound)。从2017年3.0的714个增加到了现在4.8版本的927个,增加了将近30%。这也解释我们对问题的认知程度在细化和加深,这更加有利于我们在安全戒备中,采纳更风雅的检讨和更具针对性的戒备方法,从而降落安全防御的本钱。4. 参考版本 4.7 和版本 4.8 之间的差异(https://cwe.mitre.org/data/reports/diff_reports/latest.html)2022 年 CWE 25 大最危险的软件弱点(https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html)点击下方链接,第一韶光理解华为云新鲜技能~
华为云博客_大数据博客_AI博客_云打算博客_开拓者中央-华为云
