Listan över de 25 farligaste sårbarheterna sammanställs utifrån data från rapporterade sårbarheter i databasen National Vulnerabilities Database, NVD. Ansvaret för detta ligger ytterst hos den amerikanska myndigheten Department of Homeland Security, DHS, mer specifikt inom avdelningen Homeland Security Systems Engineering and Development, HSSED. Syftet är att hjälpa utvecklare bygga säkrare applikationer.

Nya kriterier när listan sammanställs

Det är åtta år sedan listan uppdaterades, men nu finns det en ny lista som dessutom utgår från mer objektiva data än tidigare. Hänsyn tas till utbredning, allvarlighetsgrad såväl som huruvida sårbarheten utnyttjas i praktiken. Att till exempel en sårbarhet är mycket allvarlig har mindre betydelse om den knappt exploateras alls, och vice versa, skriver Bleeping Computer.

Den nya topplaceringen innehas av “Improper Restriction of Operations within the Bounds of a Memory Buffer”, alltså att ett program eller en process kan läsa eller skriva data utanför den minnesarea den är tänkt att hålla sig inom. Denna typ av sårbarhet har inte så hög allvarlighetsgrad, men är utbredd och utnyttjas flitigt.

Sårbarhet med stor utbredning

Tvåa på listan kommer cross-site-scripting, xss, och även här gäller det en typ av sårbarhet med stor utbredning, men inte lika hög allvarlighetsgrad. På tredje plats kommer ”Improper input validation” vilket innebär att ett program inte validerar att input är av rätt typ eller på rätt format vilket gör att angripare kan utforma input för att förändra flödeskontrollen av data, ta kontroll över resurser eller exekvera främmande kod.

SQL Injection, som tidigare toppade listan, har nu åkt ned till en sjätteplats, men har fortfarande den högsta allvarlighetsgraden av alla listade sårbarheter. SQL Injection är med andra ord en mycket farlig sårbarhet, men med tiden har utvecklare lärt sig att hantera denna typ av sårbarhet och det anses nu mindre sannolikt att sårbarheten utnyttjas i praktiken.

Hela listan och information om alla sårbarheter, hur de utnyttjas, och hur man skyddar sig finns här.

Läs också:
Jätteinvestering i svenskt hacker-nätverk – vill skapa ett säkrare internet
Google betalar över 14 miljoner för Androidbugg