Am Puls von Microsoft

Microsoft klassifiziert Sicherheitslücken künftig nach dem CWE-Standard

Microsoft klassifiziert Sicherheitslücken künftig nach dem CWE-Standard

Microsoft ergänzt sein eigenes Klassifizierungssystem für Sicherheitslücken in seinen Produkten und kategorisiert sie künftig zusätzlich nach dem CWE-Standard. Das soll zu mehr Transparenz und einem einheitlichen Verständnis beitragen.

CWE steht für Common Weakness Enumeration, dabei handelt es sich um einen internationalen Industriestandard, mit dem Sicherheitslücken in Hard- und Software in verschiedene Kategorien eingeteilt werden.

Microsoft nutzte dafür seit Jahrzehnten eigene Definitionen, zum Beispiel “Offenlegung von Informationen”, “Remotecodeausführung” oder “Erhöhung von Berechtigungen”.

Künftig will man bei allen Sicherheitslücken, die man in seinem Security Response Center dokumentiert, auch die CWE-Kategorie festlegen und veröffentlichen.

Ein Beispiel dafür gibt es auch: Eine Sicherheitslücke der Microsoft-Kategorie “Elevation of Privilege”, also das Erschleichen von Berechtigungen, wird in diesem Fall mit “CWE-284: Improper Access Control” klassifiziert.

Dokumentation einer Sicherheitslücke mit CWE-Definition

Wir sind davon überzeugt, dass die Einführung von CWE unseren Kunden, Entwicklern und Sicherheitsexperten in der gesamten Branche einen besseren Service bieten wird. Dieser Standard wird effektivere Community-Diskussionen über das Auffinden und Beheben dieser Schwachstellen in vorhandener Software und Hardware erleichtern und sie gleichzeitig in zukünftigen Updates und Releases minimieren, heißt es in der Ankündigung.

 

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige