未修补的漏洞增加网络潜在风险 2021年三大严重漏洞是哪些？

未打补丁的软件是包含已知安全漏洞的计算机代码。未修补漏洞是指允许攻击者利用尚未通过修补的已知安全漏洞的弱点。当软件供应商了解这些应用程序漏洞时，他们会为代码编写附加内容，称为“补丁”，以保护这些漏洞。

攻击者通常会探查网络系统中软件的漏洞，寻找未打补丁的进行利用。

一份报告发现，未修补的漏洞是主要的勒索软件攻击载体。据记录，在2021年，出现了65个与勒索软件有关的新漏洞。据观察，这与2020年的脆弱性数量相比增长了29%。

参与勒索软件的组织不再只关注单个未修补的实例。他们已经开始调查多漏洞组、容易出现漏洞的第三方应用程序、技术相关协议等，甚至招募企业内部人员发动攻击。

美国联邦调查局(FBI)、国家安全局(National security Agency)、网络安全与基础设施安全局(Cybersecurity and infrastructure security Agency)和国土安全部(Homeland security Department)等多个政府机构都发出了有关关键基础设施实体未修补漏洞的网络安全威胁的警告。

2021年最严重的前3个漏洞

美国国家标准与技术研究院(NIST) 报告称，2021年发现了18,378个漏洞。根据 HackerOne的数据，与2020年相比，2021年的软件漏洞增加了20% 。

Common Weakness Enumeration，是一个由社区开发的软件和硬件弱点类型列表，记录了前25个最危险的软件弱点(CWE top 25)。这个列表包含了过去两年里经历的最常见和最具影响力的问题。2021年记录的三大最严重漏洞是:

越界写入：软件写入的数据超过了预期的缓冲区的末端或在缓冲区的开始之前。这将导致数据损坏、崩溃或代码执行。简单来说，它会导致内存损坏。这是写入无效内存或超出缓冲区边界的内存的结果。来自某个位置的过多数据的连续拷贝只是许多其他原因之一。

跨站点脚本：这也称为“网页生成期间输入的不正确中和”。在这里，用户控制的输入在被放置在输出中之前没有被中和或被不正确地中和，然后将其用作提供给其他用户的网页。

这些软件漏洞使攻击者能够将客户端脚本引入其他用户查看的网页中。它用于绕过同源策略等访问控制。

越界读取：软件在此类应用程序漏洞中读取超出预期缓冲区末尾或开头之前的数据。黑客可以通过未经授权的内存泄漏访问敏感信息，并可能导致系统崩溃。当外部代码片段尝试读取可变数量的数据时会发生崩溃。当遇到sentinel时，读取操作在过程中停止，导致缓冲区溢出或分段错误。

为什么更新应用程序很重要?

黑客的攻击事件很可能破坏企业形象，造成资金损失并丢失客户。

可以通过使用应用程序漏洞评估工具、白盒测试、黑盒测试和其他技术来测试软件，并定期更新来防止软件存在安全漏洞。

一个理想且有效的补丁管理流程应包括一个安全检测系统，及时发现代码安全漏洞及缺陷、一个审计系统，以识别补丁和易受攻击的系统、部署更新和自动化补丁管理流程。

结论

Redscan Labs的一份报告显示，在2021年发现的所有常见漏洞和暴露(cve)中，90%都可能被没有任何技术技能的攻击者利用。该报告将54%的漏洞归类为“高”可用性。这意味着它们很容易被黑客获取或利用。

因此，及时了解CVE以及检测查找软件安全漏洞，使用静态代码安全检测工具可以从源头避免漏洞存在。另外，按时更新漏洞补丁可以避免遭到网络犯罪分子的进一步攻击。

关键词标签：安全漏洞 软件安全