Microsoft klassifiziert Sicherheitslücken künftig nach dem CWE-Standard

News-Bote

Ich bring die Post
Microsoft klassifiziert Sicherheitslücken künftig nach dem CWE-Standard

Security Titelbild


Microsoft ergänzt sein eigenes Klassifizierungssystem für Sicherheitslücken in seinen Produkten und kategorisiert sie künftig zusätzlich nach dem CWE-Standard. Das soll zu mehr Transparenz und einem einheitlichen Verständnis beitragen.

CWE steht für Common Weakness Enumeration, dabei handelt es sich um einen internationalen Industriestandard, mit dem Sicherheitslücken in Hard- und Software in verschiedene Kategorien eingeteilt werden.

Microsoft nutzte dafür seit Jahrzehnten eigene Definitionen, zum Beispiel “Offenlegung von Informationen”, “Remotecodeausführung” oder “Erhöhung von Berechtigungen”.

Künftig will man bei allen Sicherheitslücken, die man in seinem Security Response Center dokumentiert, auch die CWE-Kategorie festlegen und veröffentlichen.

Ein Beispiel dafür gibt es auch: Eine Sicherheitslücke der Microsoft-Kategorie “Elevation of Privilege”, also das Erschleichen von Berechtigungen, wird in diesem Fall mit “CWE-284: Improper Access Control” klassifiziert.

Dokumentation einer Sicherheitslücke mit CWE-Definition

Wir sind davon überzeugt, dass die Einführung von CWE unseren Kunden, Entwicklern und Sicherheitsexperten in der gesamten Branche einen besseren Service bieten wird. Dieser Standard wird effektivere Community-Diskussionen über das Auffinden und Beheben dieser Schwachstellen in vorhandener Software und Hardware erleichtern und sie gleichzeitig in zukünftigen Updates und Releases minimieren, heißt es in der Ankündigung.

zum Artikel...
 
Oben