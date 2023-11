By

Die neueste Version des Common Vulnerability Scoring System (CVSS) hat wesentliche Änderungen eingeführt, um die Probleme zu beheben, die das System plagen. CVSS ist ein Framework zur Bewertung der Schwere und Auswirkung von Schwachstellen in Computersystemen.

Eine der wichtigsten Neuerungen in CVSS Version 4 ist die Abschwächung des Basisscores. In der Vorgängerversion standen optionale Metriken zur Verfügung, um die Basispunktzahl zu mildern. Allerdings wurden in Version 4 zusätzliche Metriken wie Bedrohungsmetriken, Umweltmetriken und ergänzende Metriken eingeführt. Diese neuen Metriken sollen die Wahrscheinlichkeit der Nutzung eines Exploits messen.

Darüber hinaus ermöglicht CVSS Version 4 jetzt mehrere Bewertungen für eine bestimmte Schwachstelle. Anstatt sich ausschließlich auf die anfängliche Basisbewertung zu verlassen, wird eine neue Basisbewertung für jedes Downstream-Programm berechnet, das die anfällige Bibliothek nutzt. Dieser Ansatz berücksichtigt den spezifischen Kontext und die Auswirkungen der Schwachstelle in verschiedenen Szenarien.

Eine weitere bemerkenswerte Verbesserung ist die erhöhte Granularität bei der Bewertung. Die Hinzufügung von „Angriffsanforderungen“ ermöglicht die Beurteilung, ob eine Schwachstelle von anderen Faktoren für die Ausnutzbarkeit abhängt. Darüber hinaus umfasst die Metrik „Benutzerinteraktion“ jetzt drei Zustände: „Keine“, „Passiv“ oder „Aktiv“.

Die Reaktion der Industrie auf Version 4 von CVSS war vorsichtig optimistisch. Auch wenn dadurch möglicherweise nicht jedes Problem gelöst wird, wird von diesen Updates erwartet, dass sie genauere und differenziertere Schwachstellenbewertungen ermöglichen. Die Hoffnung besteht darin, dass es weniger Schwachstellen mit übertriebenen Bewertungen gibt und ein besseres Verständnis dafür entsteht, wie CVSS gemeldet wird.

FAQ

Was ist CVSS?

CVSS steht für Common Vulnerability Scoring System. Dabei handelt es sich um ein Framework zur Bewertung des Schweregrads und der Auswirkungen von Schwachstellen in Computersystemen.

Welche Verbesserungen gibt es in CVSS Version 4?

CVSS Version 4 führt neue Metriken wie Bedrohungsmetriken, Umweltmetriken und ergänzende Metriken ein. Es ermöglicht außerdem mehrere Bewertungen für eine bestimmte Schwachstelle und bietet eine höhere Granularität bei der Bewertung.

Wie behebt CVSS Version 4 die Probleme mit dem System?

Die neuen Metriken in CVSS Version 4 sollen die Wahrscheinlichkeit der Nutzung eines Exploits messen und eine genauere Bewertung von Schwachstellen ermöglichen. Die mehreren Bewertungen für eine bestimmte Schwachstelle berücksichtigen den spezifischen Kontext der Schwachstelle in verschiedenen Szenarien. Die höhere Granularität bei der Bewertung ermöglicht ein differenzierteres Verständnis von Schwachstellen.

Quellen:

– [CVSS-Website](https://www.first.org/cvss/)

– [CVSS Version 4 Spezifikation](https://www.first.org/cvss/pecification-document)