Redazione RHC : 22 Luglio 2021 17:16
Mentre i bug rilevati dai ricercatori di sicurezza aumentano costantemente, il MITRE, come di consueto aggiorna la top 25, ovvero le debolezze più comuni e pericolose che affliggono il software nei due anni precedenti all’analisi.
MITRE ha sviluppato la top 25 list, utilizzando i dati Common Vulnerabilities and Exposures (CVE) del 2019 e 2020 ottenuti dal National Vulnerability Database (NVD), che risultano circa 27.000 CVE pubblicate nei due anni.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Avevamo riportato che i difetti con score superiore a 9.8 sono il leggera flessione, ma questi sono gli ultra-critici, ma gli altri bug della fascia “Critical”, rispetto alla classificazione CVSSv3, sono tutt’altro che in diminuzione.
I punti deboli del software sono difetti, bug, vulnerabilità e vari altri tipi di errori che influiscono sul codice, sull’architettura, sull’implementazione o nel design di una soluzione software, esponendo potenzialmente ad attacchi i formatici sui quali software sono in esecuzione.
Questi aggiornamenti prendono in considerazione la frequenza con cui un CWE (da non confondere con il CVE: Mentre il Common Weakness Enumeration descrive una vulnerabilità in modo astratto, la Common Vulnerability Exposure è una istanza della CWE calata nel suo contesto applicativo) è la causa principale di una vulnerabilità, spiega il MITRE.
Questa analisi è corretto che venga svolta in maniera ricorrente, in quanto i bug cambiano e anche la loro tipologia e la loro diffusione. Ad esempio OWASP risulta oggi molto indietro, pensiamo che le loro TOP10 OWASP web application, sono ferme al 2017.
“Questo approccio fornisce uno sguardo obiettivo su quali vulnerabilità sono attualmente osservate nel mondo reale, crea una base di rigore analitico costruita su vulnerabilità segnalate pubblicamente invece di sondaggi e opinioni soggettive e rende il processo facilmente ripetibile”.
Riporta il MITRE. I 25 migliori bug del 2021 di MITRE sono pericolosi perché di solito sono facili da scoprire, hanno un impatto elevato e sono prevalenti nel software rilasciato negli ultimi due anni.
Questo fa capire che non stiamo scrivendo software sicuro, ma che la complessità è talmente elevata e le righe di codice sterminate, che bug semplici altamente critici la fanno da padrone. D’altra parte, complessità e sicurezza informatica sono grandezze inversamente proporzionali, e all’aumentare della complessità, diminuisce la sicurezza dei sistemi, e questo lo abbiamo sempre detto su Red Hot Cyber.
L’elenco riportato sopra, ci fornisce informazioni sui punti deboli della sicurezza del software più critici che risultano i più attuali.
L’anno scorso, il 12 maggio, anche la Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) avevano pubblicato un loro elenco delle prime 10 vulnerabilità di sicurezza più sfruttate tra il 2016 e il 2019.
“Delle prime 10, le tre vulnerabilità utilizzate più frequentemente tra i cyber attori sponsorizzati dallo stato di Cina, Iran, Corea del Nord e Russia, ci sono la CVE-2017-11882, CVE-2017-0199 e CVE-2012-0158, tutte collegate all’ecosistema OLE di Microsoft Windows.
Gli hacker cinesi hanno spesso sfruttato la CVE-2012-0158 a partire da dicembre del 2018, dimostrando che le aziende non sono riuscite ad applicare tempestivamente gli aggiornamenti di sicurezza in modo tempestivo, e che finchè esisteranno tali vulnerabilità, i malintenzionati le sfrutteranno.
RedazioneNegli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
