美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）在一份联合发布的 “安全设计警报” 中，就缓冲区溢出漏洞带来的持续性威胁发出了警告，此类漏洞有可能危及软件安全，并对国家和经济安全造成危害。该警报强调，制造商有必要采用 “安全设计” 原则以及经实践验证的缓解技术，以消除这类安全缺陷。

这两个机构着重指出了缓冲区溢出漏洞的普遍性，这是一种内存安全缺陷，“常常会导致系统被攻破”。正如该机构所解释的那样，“当威胁行为者在计算机内存的错误区域（即在内存缓冲区之外）访问或写入信息时，就会出现缓冲区溢出漏洞（CWE-119）”。这些漏洞可能表现为基于栈的溢出（CWE-121）或基于堆的溢出（CWE-122），并可能产生严重后果，包括数据损坏、敏感数据泄露、程序崩溃，以及最令人担忧的 —— 未经授权的代码执行。

该警报强调了这一威胁的严重性，并指出 “威胁行为者经常利用这些漏洞，先获取对某个组织网络的初始访问权限，然后在更广泛的网络中进行横向移动”。警报中列举了一些近期的案例，包括 CVE-2025-21333、CVE-2025-0282、CVE-2024-49138、CVE-2024-38812、CVE-2023-6549 和 CVE-2022-0185，这表明此类问题一直存在。

尽管有大量记录在案的缓解措施，但 CISA 和 FBI 仍表示担忧，称 “许多制造商继续采用不安全的软件开发实践，使得这些漏洞一直存在”。他们坚称，采用不安全的做法，“尤其是使用内存不安全的编程语言”，对 “我们的国家和经济安全构成了不可接受的风险”。

该警报呼吁制造商立即采取行动，敦促他们采用文件中概述的 “安全设计” 实践。这些实践包括使用内存安全的语言、实施适当的输入验证，以及采用其他经实践验证的技术来防止缓冲区溢出。CISA 和 FBI 还建议软件客户 “向制造商要求提供安全的产品”，具体方式是索要软件物料清单（SBOM）和安全软件开发证明。这使客户能够核实制造商是否正在采取必要措施来解决这些关键漏洞。

这两个机构强调，虽然所有内存安全漏洞都值得关注，但缓冲区溢出漏洞是其中特别容易理解的一类，并且有现成的解决方案。他们强调，软件中没有理由继续存在这些漏洞。警报中指出：“出于这些原因，以及这些缺陷被利用可能造成的损害，CISA、FBI 和其他相关机构将缓冲区溢出漏洞认定为不可原谅的缺陷。”