Neue Version des Microsoft Security Update Guide: CVE-Bewertung aller Schwachstellen

    Windows SecurityNach einer Preview-Phase startet Microsoft nun den erneu­erten Security Update Guide. Es han­delt sich dabei um ein Online-Portal, das alle Schwach­stellen doku­mentiert, die in Pro­dukten des Her­stellers gefunden wurden. Es ent­hält nun durch­gängig eine CVSS-Bewertung, um die Gefähr­dung ein­schätzen zu können.

    Der Security Update Guide ("Leitfaden für Sicherheits­updates") listet alle Schwachstellen von Microsoft-Produkten in chronologischer Reihenfolge auf. Die Einträge lassen sich nach verschiedenen Kriterien filtern, so dass Admins relativ schnell feststellen können, welche aktuellen Sicherheits­risiken für die von ihnen genutzten Produkte existieren.

    Bewertung anhand der CVE-Kriterien

    Jeder Eintrag enthält einen Link zum Download des Patches aus dem Update Catalog, zum Support-Artikel in der Knowledge Base sowie zur CVE-Beschreibung (Common Vulnerabilities and Exposures). Zu den Neuerungen des über­arbeiteten Security Update Guide gehört, dass Microsoft jede Schwachstelle anhand der CVE-konformen Kategorien bewertet.

    Startseite des Security Update Guide mit Links zu den KB-Artikeln, Updates und CVE-Bewertungen

    Aus Kriterien wie dem Angriffsvektor (etwa lokal oder über das Netzwerk), den benötigten Privilegien des Angreifers, der erfor­derlichen User-Interaktion oder der Verfügbarkeit von Exploit-Code errechnet sich der so genannte CVSS-Wert (Common Vulnerability Scoring System). Er liegt maximal bei 10 und wird bei jeder Sicherheits­lücke über Tabelle mit den einzelnen Metriken angezeigt und offenbart IT-Pros, wie kritisch eine Schwachstelle ist.

    Der CVSS-Score gibt Auskunft über die Gefährdung durch eine bestimmte Schwachstelle.

    Eingeschränkte Usability

    Mit der neuen Version bringt Microsoft auch besser verständliche Überschriften und Beschreibungen als im alten Portal. Diese sind in der Regel kompakter als die zuvor übliche Aneinander­reihung von Keywords.

    Die deutsche Version beruht jedoch wie der Großteil von Microsofts Online-Dokumentation auf einer maschinellen Übersetzung, so dass man zumeist mit dem englischen Original besser dran ist.

    Die Bedienung der Website erweckt häufig noch einen unfertigen Eindruck. Dialogfelder für die Filter oder die Auswahl des Datums schließen nach der Auswahl der Kriterien nicht und die Suche beschränkt sich nur auf die angezeigten Datensätze.

    Die Einträge in der CVE-Datenbank enthalten einen Link auf Microsoft Security Update Guide.

    Alternativ kann man direkt in der CVE-Datenbank suchen und von dort dem Link auf den Security Update Guide folgen. Darüber hinaus bietet Microsoft ein API, über das man die gewünschten Security-Informationen herunterladen und lokal analysieren kann.

    Keine Kommentare