美国网络安全和基础设施安全局再次提醒 IT 制造商和开发人员，必须消除软件中的缓冲区溢出漏洞。 简而言之，企业需要快速采用"安全设计"政策。

CISA 针对缓冲区溢出漏洞发布了一项新的警报，敦促软件行业采用正确的编程方法来消除一整类危险的安全漏洞。 CISA 警告说，缓冲区溢出漏洞经常导致系统受损，对系统可靠性、数据完整性和整体网络安全构成重大威胁。

CISA 解释说，当威胁行为者在程序分配的内存空间之外访问或写入数据时，就会发生缓冲区溢出。 如果黑客对内存的操作超出了缓冲区分配的限制，就会导致数据损坏、敏感信息泄露、系统崩溃，甚至远程执行恶意代码。

CISA 以前曾就缓冲区溢出漏洞发出过警告，现在再次重申了这一信息。 该机构强调了这些漏洞在现实世界中的示例，包括 Windows 操作系统（CVE-2025-21333）、Linux 内核（CVE-2022-0185）、VPN 产品（CVE-2023-6549）以及存在可执行代码的其他各种软件环境中的漏洞。

软件公司可以在编写代码时采用适当的"安全设计"方法来应对缓冲区溢出威胁。 在软件工程中，"安全设计"是指在构建产品和功能时，将安全性作为一项基本原则，而不是事后才考虑。 然而，CISA 指出，迄今为止只有少数公司实施了这种方法。

该机构概述了几种"安全设计"做法，技术负责人应在其组织内采用这些做法。 这些做法包括使用 Rust 或 Go 等内存安全编程语言，在部署前配置编译器以检测缓冲区溢出错误，以及定期进行产品测试。

CISA 与联邦调查局（FBI）和美国国家安全局（NSA）等其他政府机构正在提供更多的资源和报告，以帮助企业减少缓冲区溢出漏洞和其他关键安全威胁。

该机构还强调了与 17 个全球网络安全组织合作制定的三项广泛的"安全设计"原则。 这些原则强调软件开发过程中的全面问责制、对透明度的"彻底"承诺以及旨在优先考虑安全性的组织结构。