L’écriture hors limites, plus dangereuse des faiblesses logicielles ? Oui, si on en croit MITRE. L’organisme soutenu par le département de la Sécurité intérieure des États-Unis a pris l’habitude de publier un top 25. Une forme de complément à son dictionnaire CWE (Common Weakness Enumeration), qui inclut aussi les erreurs de conception hardware. L’édition 2021 vient de sortir. Elle se fonde sur deux années d’historique (2019-2020) dans un autre dictionnaire MITRE : la base de failles CVE (Common Vulnerabilities and Exposures).
Les faiblesses sont classées selon un score qui résulte de deux critères : fréquence et sévérité.
La multiplication des scores de fréquence et de sévérité donne le score final.
Avec cette méthode, l’écriture hors limites arrive nettement devant (65,93 ; voir l’extrait de tableau ci-dessous). Pour décrire les conséquences de ce type de faiblesse, on utilise le terme générique de « corruption de mémoire ». Au bout, il peut y avoir atteinte à des fichiers, plantage ou exécution de code.
En tête l’an dernier, le XSS passe au deuxième rang. Il y a également permutation entre le troisième et le quatrième (lecture hors limites et validation incorrecte d’entrée).
Les principaux mouvements vers le haut du classement se font hors du top 10.
Quant aux mouvements vers le bas :
La méthode de calcul retenue pour ce top 25 donne un score bas pour les faiblesses rarement découvertes ; peu importent leurs effets potentiels. C’est souhaitable, explique MITRE. Non sans reconnaître l’existence de biais liés essentiellement au contenu des définitions CVE : termes trop génériques, description limitée à l’impact et/ou aux techniques d’attaque…
Illustration principale © Quardia Inc. – Adobe Stock
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…