2517318

Das steckt hinter der Abkürzung CVE

08.08.2020 | 09:30 Uhr | Arne Arnold

In Berichten zu Sicherheitslücken in Software wird oftmals zu jeder einzelnen Lücke eine CVE-ID genannt, wie etwa CVE-2020-1020. Worum handelt es sich dabei?

Bei dieser konkreten Lücke handelt es sich beispielsweise um eine Schwachstelle in der Type-Manager-Bibliothek atmfd.dll von Adobe, die sich auf Windows-Computern befindet. Seit März dieses Jahres greifen Kriminelle Windows-7-Computer erfolgreich über diese Lücke an. 

Die Abkürzung CVE steht für „Common Vulnerabilities and Exposures“, was sich mit „Bekannte Sicherheitslücken und Bedrohungen“ übersetzen lässt. CVE ist somit ein Standard, der IT-Lücken beschreibt und katalogisiert. Laufende Nummern identifizieren die verschiedenen Einträge eindeutig. Das System wird von der amerikanischen Non-Profit-Organisation Mitre betreut, die von der amerikanischen Regierung unterstützt wird. Des Weiteren beteiligen sich Vertreter von Sicherheitsorganisationen, akademische Institutionen sowie Sicherheitshersteller und -experten an dem System. 

Die amerikanische Non-Profit-Organisation Mitre hat im Jahr 1999 als Erstes ein öffentlich zugängliches Verzeichnis von Sicherheitslücken in IT-Systemen erstellt.
Vergrößern Die amerikanische Non-Profit-Organisation Mitre hat im Jahr 1999 als Erstes ein öffentlich zugängliches Verzeichnis von Sicherheitslücken in IT-Systemen erstellt.

Dank einer eindeutigen Benennung können die Sicherheitsforscher und Softwarehersteller weltweit deutlich einfacher Informationen über die jeweilige Schwachstelle oder das betreffende Sicherheitsrisiko austauschen. Das ist ebenfalls das Hauptziel des CVE-Standards. So sieht die Syntax von CVE aus: CVE-Namen sind nach einer definierten Syntax aufgebaut. Mitunter werden sie auch CVE-IDs oder nur CVEs genannt. Jeder CVE-Name enthält die nachfolgenden Angaben:

1. CVE. Was für Common Vulnerabilities and Exposures steht. 

2. Jahreszahl im Format JJJJ, also aktuell 2020. 

3. Eine fortlaufende Identifikationsnummer mit führenden Nullen, etwa 0001 oder wie in unserem Beispiel oben „1020“. Die ID-Nummern waren zu Beginn vierstellig mit führenden Nullen. Mittlerweile erlaubt das Format beliebig viele Stellen (mindestens jedoch vier). 

Wenn Sie nach einem CVE-Namen bei CVE Mitre.org suchen, etwa CVE-2020- 1020, erhalten Sie Informationen zur Lücke, wie in dieser Abbildung.
Vergrößern Wenn Sie nach einem CVE-Namen bei CVE Mitre.org suchen, etwa CVE-2020- 1020, erhalten Sie Informationen zur Lücke, wie in dieser Abbildung.

Das Beispiel CVE-2020-1020 bezeichnet damit die Lücke 1020 im Jahr 2020. Zu jeder CVE-ID gibt es eine kurze Beschreibung der Schwachstelle sowie eine Referenz, die meistens als Link angegeben wird. Dazu kommen weitere Infos, etwa der Tag, an dem die Lücke gemeldet wurde. Darüber hinaus bekommt jede CVE einen Status, der entweder „Candidate“ oder „Entry“ lautet. Wenn Sie Informationen zu einem bekannten CVE-Namen suchen, gehen Sie auf https://cve.mitre.org/cve/search_cve_list.html und geben Sie ihn dort ein. Sie erhalten einen Link zu dem Eintrag wie auch zu weiteren CVE-Namen, die sich auf den gesuchten Namen in Ihrer Beschreibung beziehen. 

Sie können unter https://cve.mitre.org/data/downloads/index.html die komplette Liste mit allen CVE-IDs seit 1999 herunterladen. Wählen Sie hierfür zum Beispiel das CSV- oder TXT-Format und die gepackte Variante der Liste, damit der Download schneller klappt. 

Tipp:   Windows 10: Mit Bordmitteln vor Viren schützen

PC-WELT Marktplatz

2517318