A CVEdetails 2025‑ös toplistája a legtöbb sebezhetőséggel rendelkező szoftvereket gyűjtötte össze. De vajon mit árul el valójában a lista a biztonsági kockázatokról? Cikkünkben áttekintjük a legfontosabb adatokat, a rangsor mögötti logikát, és azt, hogyan érdemes kezelni a sebezhetőségeket a gyakorlatban.

Mi is a CVEdetails toplista?

A CVEdetails weboldal évente összegyűjti a legtöbb CVE‑vel (Common Vulnerabilities and Exposures) rendelkező szoftvereket, ezzel láthatóvá téve, mely termékekhez tartozott a legtöbb publikált biztonsági hiba egy adott évben. A 2025‑ös lista élén a Linux kernel, a különböző Windows Server verziók és a Windows 10/11 állnak, de szerepelnek rajta macOS, iOS, Android és különböző Linux disztribúciók is.

Fontos kiemelni, hogy a lista a hibák számát mutatja, nem a valódi veszélyt. Egy termék tehát nem feltétlenül „veszélyesebb”, ha több CVE tartozik hozzá – csupán azt jelzi, hogy több hiba lett felfedezve és dokumentálva.

Mi befolyásolja a CVE‑k számát?

A toplista mögött számos tényező áll:

1. Telepítési bázis és kódméret
   A nagy, elterjedt rendszerek, mint a Linux kernel vagy a Windows, hatalmas kódbázissal rendelkeznek. Több kód → több potenciális hiba → több CVE.
2. Kutatói aktivitás
   Nyílt forráskódú projektek esetén a biztonsági közösség széleskörűen vizsgálja a szoftvert, így több CVE kerül publikálásra. Zárt forrású szoftvereknél ezek a számok gyakran kisebbek, nem feltétlenül kevesebb hibát jelentve, hanem kevesebb nyilvános auditot.
3. CVE súlyossági különbségek
   A toplista minden CVE-t egyenlőnek tekint, legyen szó kisebb információszivárgásról vagy kritikus távoli kódfuttatásról. Így a számok önmagukban nem tükrözik a kockázatot.

Mit jelent ez a gyakorlatban?

A CVEdetails toplistája jó indikátor, ha át akarjuk látni a szoftverek hibajelentéseinek volumenét, de a valódi biztonsági kockázatot csak a következő tényezők ismeretében lehet felmérni:

• A sebezhetőség súlyossága és exploitálhatósága
• A szoftver környezeti jelentősége (kritikus rendszerek vs. kevésbé érzékeny alkalmazások)
• A hibák gyors javítása és a frissítések alkalmazása

A modern kiberbiztonság nem a CVE‑lista csúcsán lévő szoftverek elkerüléséről szól, hanem a kockázatok folyamatos mérsékléséről, a patch‑menedzsmentről és a környezetre szabott biztonsági stratégiáról.

A CVEdetails 2025‑ös toplistája rávilágít a publikált sebezhetőségek volumenére, de önmagában nem a termékek biztonsági értékét mutatja. A nagyobb rendszerek több CVE-t tartalmaznak, gyakran a kutatói aktivitás miatt. A valódi biztonság érdekében érdemes a sebezhetőségek súlyát, exploitálhatóságát és a helyi környezetre gyakorolt hatását figyelembe venni, és ez alapján kialakítani a megfelelő védekezési stratégiát.

Sérülékenységek száma a különféle rendszerekben 2025-ben: