Bei dieser konkreten Lücke handelt es sich beispielsweise um eine Schwachstelle in der Type-Manager-Bibliothek atmfd.dll von Adobe, die sich auf Windows-Computern befindet. Diese Lücke wird von Kriminellen bereits für Angriffe auf Windows ausgenutzt.
Die Abkürzung CVE steht für „Common Vulnerabilities and Exposures“, was sich mit „Bekannte Sicherheitslücken und Bedrohungen“ übersetzen lässt. CVE ist somit ein Standard, der IT-Lücken beschreibt und katalogisiert. Laufende Nummern identifizieren die verschie- denen Einträge eindeutig. Das System wird von der amerikanischen Non-Profit-Organisation Mitre betreut, die von der amerikanischen Regierung unterstützt wird. Des Weiteren beteiligen sich Vertreter von Sicherheitsorganisationen, akademische Institutionen sowie Sicherheitshersteller und -experten an dem System.
Dank einer eindeutigen Benennung können die Sicherheitsforscher und Softwarehersteller weltweit deutlich einfacher Informationen über die jeweilige Schwachstelle oder das betreffende Sicherheitsrisiko austauschen. Das ist ebenfalls das Hauptziel des CVE-Standards. So sieht die Syntax von CVE aus: CVE-Namen sind nach einer definierten Syntax aufgebaut. Mitunter werden sie auch CVE-IDs oder nur CVEs genannt. Jeder CVE-Name enthält die nachfolgenden Angaben:
- CVE. Was für Common Vulnerabilities and Exposures steht.
- Jahreszahl im Format JJJJ, also aktuell 2020.
- Eine fortlaufende Identifikationsnummer mit führenden Nullen, etwa 0001, oder wie in unserem Beispiel oben, „1020“. Die ID- Nummern waren zu Beginn vierstellig mit führenden Nullen. Mittlerweile erlaubt das Format beliebig viele Stellen (mindestens jedoch vier).
Das Beispiel CVE-2020-1020 bezeichnet damit die Lücke 1020 im Jahr 2020. Zu jeder CVE-ID gibt es eine kurze Beschreibung der Schwach- stelle sowie eine Referenz, die meistens als Link angegeben wird. Dazu kommen weitere Infos, etwa der Tag, an dem die Lücke gemeldet wurde. Darüber hinaus bekommt jede CVE einen Status, der entweder „Candidate“ oder „Entry“ lautet. Wenn Sie Informationen zu einem bekannten CVE-Namen suchen, gehen Sie auf https://cve.mitre.org/cve/search_cve_list.html und geben Sie ihn dort ein. Sie erhalten einen Link zu dem Eintrag wie auch zu weiteren CVE-Namen, die sich auf den gesuchten Namen in Ihrer Beschreibung beziehen.
Sie können unter https://cve.mitre.org/data/downloads/index.html die komplette Liste mit allen CVE-IDs seit 1999 herunterladen. Wählen Sie hierfür zum Beispiel das CSV- oder TXT-Format und die gepackte Variante der Liste, damit der Download schneller klappt.
Achtung: Stopfen Sie diese Sicherheitslücken