Kerentanan perangkat lunak adalah kelemahan keamanan yang timbul dari kesalahan, salah tafsir, atau kurangnya penerapan prosedur keamanan dalam suatu aplikasi, sistem jaringan, atau sistem operasi. Kerentanan dapat terjadi karena kesalahan pengkodean, desain atau implementasi yang tidak memadai, atau bahkan kelalaian pengguna atau administrator sistem, sehingga penyerang dapat memanfaatkannya. Penting untuk diingat bahwa kerentanan perangkat lunak belum tentu berbahaya; beberapa di antaranya disebabkan oleh tindakan pencegahan keamanan yang salah atau tidak memadai.
Dalam komputasi, terdapat berbagai jenis kerentanan perangkat lunak. Umumnya, kerentanan tersebut dapat dipecah menjadi beberapa kategori seperti kerentanan autentikasi, kerentanan kerusakan memori, kerentanan traversal jalur, dan kelemahan kriptografi. Masing-masing kategori ini mencakup berbagai masalah keamanan yang rentan terhadap aplikasi, jaringan, atau sistem, seperti eksploitasi buffer overflow, eksploitasi eskalasi hak istimewa, skema otentikasi yang lemah, dan standar enkripsi yang tidak ada.
Kerentanan autentikasi terjadi ketika aplikasi atau layanan mengizinkan penyerang melewati prosedur autentikasi, sehingga memungkinkan mereka mendapatkan akses ke data sensitif. Kerentanan kerusakan memori terjadi ketika aplikasi gagal mengelola memorinya dengan benar, sehingga penyerang dapat menimpa sebagian memori. Kerentanan jalur traversal memungkinkan penyerang untuk bernavigasi ke area terlarang dengan mengeksploitasi perlindungan navigasi sistem yang tidak memadai. Kelemahan kriptografi mungkin mencakup algoritma enkripsi yang lemah atau prosedur manajemen kunci yang lemah.
Penting bagi pengembang dan administrator sistem untuk menyadari kerentanan perangkat lunak guna mengambil langkah-langkah yang diperlukan untuk mencegah eksploitasi. Penting juga untuk memiliki proses untuk mendeteksi dan mengidentifikasi kerentanan yang ada, serta mengembangkan metode untuk memitigasi risiko yang teridentifikasi.
Praktik keamanan seperti patching perangkat lunak, rekayasa balik, pengujian penetrasi, dan pelatihan kesadaran keamanan membantu membatasi dampak kerentanan apa pun yang mungkin ada pada perangkat lunak atau aplikasi lain. Dengan selalu memperbarui patch dan menguji sistem untuk mengetahui kerentanan yang diketahui, organisasi dapat memastikan sistem mereka aman dari eksploitasi apa pun.
