Warnung: Das sind die gefährlichsten Software-Schwachstellen 2025
Cross-Site Scripting (XSS) bleibt auch 2025 die gefährlichste Software-Schwachstelle weltweit. Das geht aus der aktuellen Liste der "CWE Top 25" hervor, die die US-Organisation MITRE veröffentlicht hat.
Deutlich gestiegen ist zudem der Eintrag "Missing Authorization" (CWE-862), also fehlende Autorisierung. Diese Schwachstelle machte fünf Plätze gut und belegt nun Rang vier. Angreifer nutzen derartige Lücken häufig, um Systeme vollständig zu kompromittieren oder sensible Daten abzuschöpfen.
Neben webbasierten Risiken verzeichnen Fachleute laut MITRE einen Anstieg klassischer Speicherfehler. In den Top 10 finden sich unter anderem die Schwachstellenklassen "Out-of-bounds Write", "Path Traversal" und "Use-After-Free".
Auch Pufferüberlaufprobleme sind nach mehreren Jahren wieder vertreten - in Varianten wie Classic, Stack-based und Heap-based Buffer Overflow. Neu dabei ist außerdem "Improper Access Control". Nach Ansicht der Experten weist dies auf den fortbestehenden Wartungsbedarf bei älteren Programmen in C und C++ hin, während speichersichere Sprachen wie Rust oder Go sich noch nicht flächendeckend durchgesetzt haben.
Die US-Sicherheitsbehörde CISA betonte bereits die Bedeutung der Liste für das Prinzip "Secure by Design". Demnach sollten Hersteller bekannte Schwachstellen bereits in der Entwicklungsphase vermeiden, um ganze Fehlerklassen künftig gar nicht erst entstehen zu lassen. Dies könne nicht nur die Risiken für Nutzer verringern, sondern auch die Kosten für spätere Sicherheitsupdates senken.
Die signifikantesten Änderungen im Überblick:
Abschließend lässt sich festhalten, dass die diesjährige Liste eine Mahnung an Entwickler ist, die Grundlagen der IT-Sicherheit nicht zu vernachlässigen. Während komplexe Angriffe oft die Schlagzeilen beherrschen, sind es häufig fundamentale Fehler in der Speicherverwaltung und der Zugriffssteuerung, die Kriminellen Tür und Tor öffnen.
Welche Sicherheitslücke bereitet euch im Arbeitsalltag die meisten Kopfschmerzen? Teilt eure Erfahrungen zur neuen CWE-Liste gerne mit uns unten in den Kommentaren.
Siehe auch:
Bekannte Angriffsvektoren dominieren
Auf den weiteren Plätzen folgen SQL-Injection und Cross-Site Request Forgery (CSRF). Beide rückten im Vergleich zum Vorjahr jeweils um eine Position nach vorn. Die Dominanz webbasierter Angriffsmuster zeige, dass die Absicherung und Validierung von Eingabedaten nach wie vor eine der größten Herausforderungen der Softwareentwicklung sei, heißt es in dem neuen Bericht.Deutlich gestiegen ist zudem der Eintrag "Missing Authorization" (CWE-862), also fehlende Autorisierung. Diese Schwachstelle machte fünf Plätze gut und belegt nun Rang vier. Angreifer nutzen derartige Lücken häufig, um Systeme vollständig zu kompromittieren oder sensible Daten abzuschöpfen.
Neben webbasierten Risiken verzeichnen Fachleute laut MITRE einen Anstieg klassischer Speicherfehler. In den Top 10 finden sich unter anderem die Schwachstellenklassen "Out-of-bounds Write", "Path Traversal" und "Use-After-Free".
Auch Pufferüberlaufprobleme sind nach mehreren Jahren wieder vertreten - in Varianten wie Classic, Stack-based und Heap-based Buffer Overflow. Neu dabei ist außerdem "Improper Access Control". Nach Ansicht der Experten weist dies auf den fortbestehenden Wartungsbedarf bei älteren Programmen in C und C++ hin, während speichersichere Sprachen wie Rust oder Go sich noch nicht flächendeckend durchgesetzt haben.
Datenbasis für das Ranking
Für die Analyse wertete die MITRE Corporation 39.080 gemeldete Sicherheitslücken (CVE-Einträge) aus, die zwischen Juni 2024 und Juni 2025 gemeldet wurden. In das Ranking fließt nicht nur die Häufigkeit, sondern auch der durchschnittliche Schweregrad der Lücken ein. Diese Bewertungsgrundlage soll Unternehmen dabei helfen, Risiken besser zu priorisieren und Schwachstellen präventiv zu vermeiden. Infografik: Regelmäßige Passwortänderung für Deutsche kaum ein Thema
Die US-Sicherheitsbehörde CISA betonte bereits die Bedeutung der Liste für das Prinzip "Secure by Design". Demnach sollten Hersteller bekannte Schwachstellen bereits in der Entwicklungsphase vermeiden, um ganze Fehlerklassen künftig gar nicht erst entstehen zu lassen. Dies könne nicht nur die Risiken für Nutzer verringern, sondern auch die Kosten für spätere Sicherheitsupdates senken.
Die signifikantesten Änderungen im Überblick:
- Missing Authorization (CWE-862): Anstieg um fünf Plätze auf Rang vier
- Null Pointer Dereference (CWE-476): Kletterte acht Plätze nach oben auf Rang 13
- Buffer Overflow: Rückkehr diverser Varianten (Classic, Stack, Heap) in die Top 25
- Missing Authentication (CWE-306): Stieg um vier Plätze auf Rang 21
Abschließend lässt sich festhalten, dass die diesjährige Liste eine Mahnung an Entwickler ist, die Grundlagen der IT-Sicherheit nicht zu vernachlässigen. Während komplexe Angriffe oft die Schlagzeilen beherrschen, sind es häufig fundamentale Fehler in der Speicherverwaltung und der Zugriffssteuerung, die Kriminellen Tür und Tor öffnen.
Welche Sicherheitslücke bereitet euch im Arbeitsalltag die meisten Kopfschmerzen? Teilt eure Erfahrungen zur neuen CWE-Liste gerne mit uns unten in den Kommentaren.
Zusammenfassung
- Cross-Site Scripting bleibt laut MITRE auch 2025 die gefährlichste Schwachstelle
- SQL-Injection und Cross-Site Request Forgery rücken auf Platz zwei und drei vor
- Fehlende Autorisierung steigt um fünf Plätze auf Rang vier der Schwachstellenliste
- Experten verzeichnen einen Anstieg klassischer Speicherfehler in den Top 10
- MITRE wertete 39080 gemeldete Sicherheitslücken von Juni 2024 bis Juni 2025 aus
- US-Sicherheitsbehörde CISA betont Bedeutung der Liste für 'Secure by Design'
- Grundlegende Fehler in Speicherverwaltung und Zugriffssteuerung öffnen Angreifern Tür
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen