Redazione RHC : 22 Luglio 2021 17:16
Mentre i bug rilevati dai ricercatori di sicurezza aumentano costantemente, il MITRE, come di consueto aggiorna la top 25, ovvero le debolezze più comuni e pericolose che affliggono il software nei due anni precedenti all’analisi.
MITRE ha sviluppato la top 25 list, utilizzando i dati Common Vulnerabilities and Exposures (CVE) del 2019 e 2020 ottenuti dal National Vulnerability Database (NVD), che risultano circa 27.000 CVE pubblicate nei due anni.
Sponsorizza la prossima Red Hot Cyber Conference!
Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Avevamo riportato che i difetti con score superiore a 9.8 sono il leggera flessione, ma questi sono gli ultra-critici, ma gli altri bug della fascia “Critical”, rispetto alla classificazione CVSSv3, sono tutt’altro che in diminuzione.
I punti deboli del software sono difetti, bug, vulnerabilità e vari altri tipi di errori che influiscono sul codice, sull’architettura, sull’implementazione o nel design di una soluzione software, esponendo potenzialmente ad attacchi i formatici sui quali software sono in esecuzione.
Questi aggiornamenti prendono in considerazione la frequenza con cui un CWE (da non confondere con il CVE: Mentre il Common Weakness Enumeration descrive una vulnerabilità in modo astratto, la Common Vulnerability Exposure è una istanza della CWE calata nel suo contesto applicativo) è la causa principale di una vulnerabilità, spiega il MITRE.
Questa analisi è corretto che venga svolta in maniera ricorrente, in quanto i bug cambiano e anche la loro tipologia e la loro diffusione. Ad esempio OWASP risulta oggi molto indietro, pensiamo che le loro TOP10 OWASP web application, sono ferme al 2017.
“Questo approccio fornisce uno sguardo obiettivo su quali vulnerabilità sono attualmente osservate nel mondo reale, crea una base di rigore analitico costruita su vulnerabilità segnalate pubblicamente invece di sondaggi e opinioni soggettive e rende il processo facilmente ripetibile”.
Riporta il MITRE. I 25 migliori bug del 2021 di MITRE sono pericolosi perché di solito sono facili da scoprire, hanno un impatto elevato e sono prevalenti nel software rilasciato negli ultimi due anni.
Questo fa capire che non stiamo scrivendo software sicuro, ma che la complessità è talmente elevata e le righe di codice sterminate, che bug semplici altamente critici la fanno da padrone. D’altra parte, complessità e sicurezza informatica sono grandezze inversamente proporzionali, e all’aumentare della complessità, diminuisce la sicurezza dei sistemi, e questo lo abbiamo sempre detto su Red Hot Cyber.
L’elenco riportato sopra, ci fornisce informazioni sui punti deboli della sicurezza del software più critici che risultano i più attuali.
L’anno scorso, il 12 maggio, anche la Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) avevano pubblicato un loro elenco delle prime 10 vulnerabilità di sicurezza più sfruttate tra il 2016 e il 2019.
“Delle prime 10, le tre vulnerabilità utilizzate più frequentemente tra i cyber attori sponsorizzati dallo stato di Cina, Iran, Corea del Nord e Russia, ci sono la CVE-2017-11882, CVE-2017-0199 e CVE-2012-0158, tutte collegate all’ecosistema OLE di Microsoft Windows.
Gli hacker cinesi hanno spesso sfruttato la CVE-2012-0158 a partire da dicembre del 2018, dimostrando che le aziende non sono riuscite ad applicare tempestivamente gli aggiornamenti di sicurezza in modo tempestivo, e che finchè esisteranno tali vulnerabilità, i malintenzionati le sfrutteranno.
RedazioneLe aziende italiane che utilizzano piattaforme di telefonia online (VoIP) basate su software open-source come Asterisk e Vicidial, si affidano a questi sistemi per contattare quotidianamente i cittadi...
Manuel Roccon, leader del team etico HackerHood di Red Hot Cyber, ha realizzato una dettagliata dimostrazione video su YouTube che espone in modo pratico come funziona CVE-2025-8088 di WinRAR. Il vide...
I macro movimenti politici post-covid, comprendendo i conflitti in essere, hanno smosso una parte predominante di stati verso cambi di obbiettivi politici sul medio/lungo termine. Chiaramente è stato...
Come abbiamo riportato questa mattina, diversi cavi sottomarini nel Mar Rosso sono stati recisi, provocando ritardi nell’accesso a Internet e interruzioni dei servizi in Asia e Medio Oriente. Micros...
La Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...
