Neue Version des Microsoft Security Update Guide: CVE-Bewertung aller Schwachstellen
Nach einer Preview-Phase startet Microsoft nun den erneuerten Security Update Guide. Es handelt sich dabei um ein Online-Portal, das alle Schwachstellen dokumentiert, die in Produkten des Herstellers gefunden wurden. Es enthält nun durchgängig eine CVSS-Bewertung, um die Gefährdung einschätzen zu können.
Der Security Update Guide ("Leitfaden für Sicherheitsupdates") listet alle Schwachstellen von Microsoft-Produkten in chronologischer Reihenfolge auf. Die Einträge lassen sich nach verschiedenen Kriterien filtern, so dass Admins relativ schnell feststellen können, welche aktuellen Sicherheitsrisiken für die von ihnen genutzten Produkte existieren.
Bewertung anhand der CVE-Kriterien
Jeder Eintrag enthält einen Link zum Download des Patches aus dem Update Catalog, zum Support-Artikel in der Knowledge Base sowie zur CVE-Beschreibung (Common Vulnerabilities and Exposures). Zu den Neuerungen des überarbeiteten Security Update Guide gehört, dass Microsoft jede Schwachstelle anhand der CVE-konformen Kategorien bewertet.
Aus Kriterien wie dem Angriffsvektor (etwa lokal oder über das Netzwerk), den benötigten Privilegien des Angreifers, der erforderlichen User-Interaktion oder der Verfügbarkeit von Exploit-Code errechnet sich der so genannte CVSS-Wert (Common Vulnerability Scoring System). Er liegt maximal bei 10 und wird bei jeder Sicherheitslücke über Tabelle mit den einzelnen Metriken angezeigt und offenbart IT-Pros, wie kritisch eine Schwachstelle ist.
Eingeschränkte Usability
Mit der neuen Version bringt Microsoft auch besser verständliche Überschriften und Beschreibungen als im alten Portal. Diese sind in der Regel kompakter als die zuvor übliche Aneinanderreihung von Keywords.
Die deutsche Version beruht jedoch wie der Großteil von Microsofts Online-Dokumentation auf einer maschinellen Übersetzung, so dass man zumeist mit dem englischen Original besser dran ist.
Die Bedienung der Website erweckt häufig noch einen unfertigen Eindruck. Dialogfelder für die Filter oder die Auswahl des Datums schließen nach der Auswahl der Kriterien nicht und die Suche beschränkt sich nur auf die angezeigten Datensätze.
Alternativ kann man direkt in der CVE-Datenbank suchen und von dort dem Link auf den Security Update Guide folgen. Darüber hinaus bietet Microsoft ein API, über das man die gewünschten Security-Informationen herunterladen und lokal analysieren kann.
Ähnliche Beiträge
- Microsoft öffnet verlängerten Support für Windows 7 auch für kleinere Firmen
- Erweiterter Support für Windows 7 bis 2023: Kosten pro Gerät verdoppeln sich jährlich
- WSUS: Fixes für fehlerhafte Security-Updates erscheinen als einfache Updates
- Meltdown, Spectre: Antiviren-Software prüfen, Patches einspielen, Schutz verifizieren
- Neues Update-Modell für SharePoint Server 2016 mit Auswirkungen auf Support
Keine Kommentare