Home / Sicherheit
Tip

Sicherheit: Das steckt hinter der Abkürzung CVE

In Berichten zu Sicherheitslücken in Software oder Firmware wird oft zu jeder einzelnen Lücke eine CVE-ID genannt, wie etwa CVE-2020- 1020. Worum handelt es sich dabei?
Arne Arnold
Von Arne Arnold
PC-WELT
Die amerikanische Non-Profit-Organisation Mitre war im Jahr 1999 die erste Einrichtung, die ein öffentlich zugängliches Verzeichnis von Sicherheitslücken in ITSystemen erstellt hat.
Image: IDG

Bei dieser konkreten Lücke handelt es sich beispielsweise um eine Schwachstelle in der Type-Manager-Bibliothek atmfd.dll von Adobe, die sich auf Windows-Computern befindet. Diese Lücke wird von Kriminellen bereits für Angriffe auf Windows ausgenutzt.

Die Abkürzung CVE steht für „Common Vulnerabilities and Exposures“, was sich mit „Bekannte Sicherheitslücken und Bedrohungen“ übersetzen lässt. CVE ist somit ein Standard, der IT-Lücken beschreibt und katalogisiert. Laufende Nummern identifizieren die verschie- denen Einträge eindeutig. Das System wird von der amerikanischen Non-Profit-Organisation Mitre betreut, die von der amerikanischen Regierung unterstützt wird. Des Weiteren beteiligen sich Vertreter von Sicherheitsorganisationen, akademische Institutionen sowie Sicherheitshersteller und -experten an dem System.

Dank einer eindeutigen Benennung können die Sicherheitsforscher und Softwarehersteller weltweit deutlich einfacher Informationen über die jeweilige Schwachstelle oder das betreffende Sicherheitsrisiko austauschen. Das ist ebenfalls das Hauptziel des CVE-Standards. So sieht die Syntax von CVE aus: CVE-Namen sind nach einer definierten Syntax aufgebaut. Mitunter werden sie auch CVE-IDs oder nur CVEs genannt. Jeder CVE-Name enthält die nachfolgenden Angaben:

  1. CVE. Was für Common Vulnerabilities and Exposures steht.
  2. Jahreszahl im Format JJJJ, also aktuell 2020.
  3. Eine fortlaufende Identifikationsnummer mit führenden Nullen, etwa 0001, oder wie in unserem Beispiel oben, „1020“. Die ID- Nummern waren zu Beginn vierstellig mit führenden Nullen. Mittlerweile erlaubt das Format beliebig viele Stellen (mindestens jedoch vier).

Das Beispiel CVE-2020-1020 bezeichnet damit die Lücke 1020 im Jahr 2020. Zu jeder CVE-ID gibt es eine kurze Beschreibung der Schwach- stelle sowie eine Referenz, die meistens als Link angegeben wird. Dazu kommen weitere Infos, etwa der Tag, an dem die Lücke gemeldet wurde. Darüber hinaus bekommt jede CVE einen Status, der entweder „Candidate“ oder „Entry“ lautet. Wenn Sie Informationen zu einem bekannten CVE-Namen suchen, gehen Sie auf https://cve.mitre.org/cve/search_cve_list.html und geben Sie ihn dort ein. Sie erhalten einen Link zu dem Eintrag wie auch zu weiteren CVE-Namen, die sich auf den gesuchten Namen in Ihrer Beschreibung beziehen.

Sie können unter https://cve.mitre.org/data/downloads/index.html die komplette Liste mit allen CVE-IDs seit 1999 herunterladen. Wählen Sie hierfür zum Beispiel das CSV- oder TXT-Format und die gepackte Variante der Liste, damit der Download schneller klappt.

Achtung: Stopfen Sie diese Sicherheitslücken

vgwort

Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.

Aktuelle Beiträge von Arne Arnold: