Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

MITRE, Yazılım Zafiyetlerinin Yeni Listesini Yayımladı

0

Bu hafta MITRE şirketi, tehlikeli yazılım zafiyetlerinin yeni ve güncellenmiş bir listesini yayımladı.

Common Weakness Enumeration (CWE) olarak bilinen, yazılımlara ait en önemli 25 zafiyetin bulunmuş olduğu bu liste NVD’de (Ulusal Güvenlik Açığı Veritabanı) yer alan ve gerçek dünyaya ait güvenlik açığı bilgilerini içeren verilere dayanarak oluşturuluyor.

Oluşturulan yeni zafiyet yaklaşımı 2011 yılında yazılım geliştiricileri, üst düzey güvenlik analistleri, güvenlik araştırmacıları ve firmalar tarafından oluşturulan CWE Top 25‘le arasında büyük bir fark olduğunu gösteriyor.

2019 yılının Top 25 listesinde 600‘den fazla zafiyet bulunuyor bu da geçtiğimiz yıllarda bulunmayan farklı kategorilerin yavaş yavaş listeleri güncellediğini gösteriyor.

Yeni listede en dikkat çeken zafiyetler ise CWE-119 (Improper Restriction of Operations within the Bounds of a Memory Buffer), CWE-20 (Improper Input Validation), CWE-200 (Information Exposure) ve CWE-287 (Improper Authentication) zafiyetleri oldu.

CWE ekibi böyle bir güncellemeye ihtiyaç duydu çünkü NVD’nin veri odaklı analizlerine firmalar ve araştırmacılar tarafından sık sık bildirilen güvenlik açıklarını bu liste üzerinden açıklıyorlar.

CWE ekibi, “Yayımlanan bu yeni listedeki üst düzey zafiyetlere yakından bakarsak önceki Top 25 listesindeki zafiyetlerin bir alt dalı olduğunu görebiliriz.” dedi.

Bu nedenle, CWE-119 yeni listenin en başında olsa da bir alt dalı olan CWE-120 ilk 25‘e dahi giremedi. Öte yandan, 2011 yılının listesinde görünmeyen CWE-287 bu sene 13. oldu ve 2019‘da listede bulunmayan 2011 yılının 5.si CWE-306, 6.CWE-862 ve 15. si CWE-863 zafiyetlerinin alt dalı olarak listede yerini aldı.

CWE ekibi, “Bir başka ilginç değişiklik, 2019 listesindeki bazı zayıflıkların potansiyel bir zayıflık zinciri içerisinde farklı yerlerde rapor edilmiş olmasıdır. Örneğin, CWE-787 (Out-of-bounds Write) 2011 listesinde görünmüyor ancak 2019‘da 12. sırada. CWE-787, 2011‘de 3. sırada olan CWE-120 ile başlayan bir zincirin parçası olarak bulunuyor.” diye de ekledi.

Listedeki diğer önemli değişiklikler ise CWE-125’in (Out-of-bounds Read) 5., CWE-417’nin (Use After-Free) 7., CWE-611’in (Improper Restriction of XML External Entity Reference) 17. ve CWE-502’nin (Deserialization of Untrusted Data) 23. olmasıydı. Ayrıca 2011‘de Top 25‘de bile bulunmayan CWE-476 (NULL Pointer Dereference) zafiyeti bu yıl 14. sıraya yerleşti. Sınıf seviyesindeki zayıflıklar ve çok bilinen güvenli kod yazma problemi alanları olan CWE-20 ve CWE-200 zafiyetleri de bu listede yer aldı.

CWE Top 25 ayrıca, Cross-Site Scripting (XSS), SQL Injection, Cross-Site Request Forgery (CSRF), Path Traversal, OS Command Injection, Improper Authentication, Code Injection ve Weak Password gibi yazılımların üzerindeki zafiyetlerle ilgili bilgileri de içeriyor.

Güvenlik analistleri, geliştiriciler, firmalar ve uzmanlar tarafından sistemlerde bulunan zayıflıkları tanımladıktan sonra belirli bir standart halinde birbirlerine bu zafiyetleri tanımlamalarına yardımcı olan bu sistem gün geçtikçe genişliyor ve belirli bir standart halini alıyor. Ancak artan zafiyetler ve kategoriler de beraberinde bunları sınıflandırma zorunluluğu getiriyor. Önümüzdeki senelerde de birçok zafiyet bu sıralarda bulunanlarla yer değiştirecektir ve güncellenecektir.

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.