Bös, böser, Bugs: Das sind die gefährlichsten

Ein Team der Mitre Cooperation, das sich mit Common Weakness Enumeration (CWE), einem Kategorisierungssystem für Software-Schwachstellen, befasst, hat eine Liste mit den Top 25 der gefährlichsten CWE-Softwarefehlern veröffentlicht. Die erstmals wieder seit 2011 aufdatierte Liste der amerikanischen Non-Profit-Organisation ist eine Zusammenstellung von Fehlern, Bugs und potenziellen Angriffsvektoren, mit denen Entwickler im Interesse der Sicherheit vertraut sein sollten.
 
Diese Schwächen seien oft leicht zu finden und auszunutzen, schreibt das CWE-Team. "Sie sind gefährlich, weil sie es häufig ermöglichen, dass Gegner die Ausführung von Software vollständig übernehmen, Daten stehlen oder die Software am Funktionieren hindern."
 
Die Top 25 sind mit detaillierten Erläuterungen auf der Liste des CWE-Teams zu finden. Dazu gehören SQL-Injektionen, Cross-Site Request Forgery (CSRF), Use-After-Free-Flaws, unsachgemässe Authentifizierungen und falsche Berechtigungsvergaben. Die gefährlichsten fünf sind:
 
1. CWE-119: "Improper Restriction of Operations within the Bounds of a Memory Buffer". Die Software führt Operationen in einem Speicherpuffer durch, kann aber von einem Speicherplatz lesen oder schreiben, der ausserhalb der vorgesehenen Grenze des Puffers liegt.
2. CWE-79: "Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')". Die Software neutralisiert Input von Benutzern in Eingabefeldern nicht oder nicht korrekt, bevor dieser in Ausgaben platziert wird, die als Webseite verwendet und anderen Benutzern zur Verfügung gestellt werden.
3. CWE-20: "Improper Input Validation". Das Produkt validiert keine Eingaben, die den Kontrollfluss oder Datenfluss eines Programms beeinflussen können, oder validiert sie falsch.
4. CWE-200: "Information Exposure". Die absichtliche oder unabsichtliche Offenlegung von Informationen an einen Akteur, der nicht ausdrücklich berechtigt ist, Zugang zu diesen Informationen zu erhalten.
5. CWE-125: "Out-of-bounds Read". Die Software liest Daten über das Ende oder vor dem Anfang des vorgesehenen Puffers hinaus.
 
Zur Erstellung der Liste verwendete das CWE-Team einen datengesteuerten Ansatz, der veröffentlichte Common Vulnerabilities and Exposures (CVE)-Daten und zugehörige CWE-Mappings, die innerhalb der National Vulnerability Database (NVD) gefunden wurden, sowie die mit jedem der CVEs verbundenen Common Vulnerability Scoring System (CVSS)-Punkte nutzt. Dieser datengesteuerte Ansatz könne als wiederholbarer, skriptbasierter Prozess verwendet werden und die "CWE Top 25" damit regelmässig aufdatiert, überarbeitet und veröffentlicht werden. (paz)