Voici les 25 bugs logiciels les plus dangereux de 2022

Voici les 25 bugs logiciels les plus dangereux de 2022

Une liste détaillant les 25 failles logicielles “les plus dangereuses”, dont certaines pourraient permettre à des attaquants de prendre le contrôle d’un système, vient d’être publiée.

Cette liste a été élaborée aux Etats-Unis par le Homeland Security Systems Engineering and Development Institute, parrainé par la Cybersecurity and Infrastructure Security Agency (CISA) et géré par MITRE. Elle utilise les données CVE (Common Vulnerabilities and Exposures) pour compiler les erreurs les plus fréquentes et les plus critiques qui peuvent conduire à de graves vulnérabilités.

“Cette liste présente les faiblesses logicielles les plus courantes et les plus graves actuellement. Souvent faciles à trouver et à exploiter, ces faiblesses peuvent conduire à des vulnérabilités exploitables qui permettent à des adversaires de prendre complètement le contrôle d’un système, de voler des données ou d’empêcher des applications de fonctionner”,  explique CWE.

“De nombreux professionnels qui s’occupent de logiciels trouveront dans le Top 25 du CWE une ressource pratique et commode pour les aider à limiter les risques. Il peut s’agir d’architectes, de concepteurs, de développeurs, de testeurs, d’utilisateurs, de chefs de projet, de chercheurs en sécurité, d’éducateurs et de contributeurs à des organismes de normalisation”, est-il noté.

publicité

Même constat que l’an passé

L’ensemble de données utilisé pour calculer le Top 25 de 2022 contient un total de 37 899 enregistrements CVE des deux années civiles précédentes, selon MITRE.

La liste du Top 25 2022 est également basée sur les données des enregistrements CVE de l’ensemble de données qui font partie du catalogue des vulnérabilités connues et exploitées (KEV – Known Exploited Vulnerabilities) de la CISA.

Les deux principales vulnérabilités restent les mêmes que l’année dernière : CWE-787 ou défaut d’écriture en mémoire hors limites, et CWE-79 pour les failles de scripting intersites.

Mais l’injection SQL ou CWE-89 en tant que catégorie a fait un bond de trois places pour se retrouver en troisième position, remplaçant la faille de mémoire CWE-125 pour la lecture hors limites, qui a perdu deux places pour se retrouver en cinquième position.

En quatrième position, sans changement de classement, se trouve CWE-20 pour la validation incorrecte des entrées, tandis que l’injection de commande OS (CWE-78) perd une place et se retrouve en sixième position.

En septième position, on trouve le CWE-416 ou “use after free”. Les vulnérabilités de traversée de chemin (CWE-22), la falsification de requête intersite (CWE-352) et le téléchargement sans restriction d’un fichier de type dangereux (CWE-434) complètent le top 10.

Les failles d’injection de commande (CWE-77) ont fait un bond de huit places dans la liste pour atteindre la 17e place, tandis que la condition de course (CWE-362) a gagné 11 places pour atteindre la 22e place.

Chacune des entrées de la liste CWE comporte une explication détaillée de la faille et des exemples passés de failles divulguées publiquement.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *