Pressemitteilung

Meltdown und Spectre sind nur die Spitze des Eisbergs

Mehr als 35 Vulnerability Advisories zu Meltdown und Spectre sowie Dutzende von weiteren hochkritischen Softwareschwachstellen seit Jahresbeginn unterstreichen die Bedeutung von Vulnerability Intelligence

München - 23. Januar 2018 - Spectre und Meltdown dominieren auf Grund ihres massiven Ausmaßes seit Wochen die Schlagzeilen. Doch die Prozessor-Schwachstellen sind nicht unbedingt die einzige Gefahr für Unternehmen. Secunia Research von Flexera veröffentlichte bereits mehr als 35 Vulnerability Advisories zu Spectre/Meltdown. Davon wurden die meisten als „mäßig kritisch“ bewertet, mit Kritikalitätswerten von 1 bis 3 bei max. 5 Punkten. Die mögliche Schlussfolgerung: Trotz aller Sicherheitsrisiken durch Spectre und Meltdown, stellen weitere kritische, nicht gepatchte Schwachstellen im Umfeld eine weit gefährlichere und unmittelbare Bedrohung dar.

Meltdown und Spectre sind nur die Spitze des Eisbergs

Mehr als 35 Vulnerability Advisories zu Meltdown und Spectre sowie Dutzende von weiteren hochkritischen Softwareschwachstellen seit Jahresbeginn unterstreichen die Bedeutung von Vulnerability Intelligence

München, 23. Januar 2018 – Spectre und Meltdown dominieren auf Grund ihres massiven Ausmaßes seit Wochen die Schlagzeilen. Doch die Prozessor-Schwachstellen sind nicht unbedingt die einzige Gefahr für Unternehmen. Secunia Research von Flexera veröffentlichte bereits mehr als 35 Vulnerability Advisories zu Spectre/Meltdown. Davon wurden die meisten als „mäßig kritisch“ bewertet, mit Kritikalitätswerten von 1 bis 3 bei max. 5 Punkten. Die mögliche Schlussfolgerung: Trotz aller Sicherheitsrisiken durch Spectre und Meltdown, stellen weitere kritische, nicht gepatchte Schwachstellen im Umfeld eine weit gefährlichere und unmittelbare Bedrohung dar.

Die Spectre- und Meltdown-Vulnerabilities sind in drei CVEs dokumentiert (CVE-2017-5754, CVE-2017-5753, CVE-2017-5715). Um die tatsächliche Gefahr der Schwachstellen einschätzen zu können, ist jedoch eine umfassende Vulnerability Intelligence jenseits einfacher CVE-Scores nötig. Erst durch detaillierte Informationen lässt sich ein Produktkontext schaffen, der Angriffsvektoren und potentielle Auswirkungen auf die IT-Sicherheit miteinschließt, und es den Sicherheitsteams ermöglicht, abseits von Spekulationen strategische Maßnahmen zu ergreifen.

„Zweifelslos müssen Unternehmen Spectre und Meltdown weiterhin kritisch beobachten. Dabei sollten sie jedoch nicht vergessen, dass seit Aufdeckung der Sicherheitslücken Anfang Januar Dutzende Advisories zu anderen, unabhängigen und hochkritischen Schwachstellen veröffentlicht wurden“, so Kasper Lindgaard, Director of Research and Security bei Flexera. „Allein im vergangenen Jahr haben wir mehr als 17.000 Schwachstellen aufgedeckt, deren Exploits theoretisch immer verheerenden Schaden verursachen können. Wie sollen Unternehmen hier angesichts knapper IT-Ressourcen die Gefahrenlage richtig einschätzen und Risiken minimieren? Der Zugang zu verifizierten Detailinformationen zu Schwachstellen sowie ein besonnenes und risikobasiertes Patch Management ist essentiell, um nicht von einer Gefahrenmeldung zur nächsten zu hetzen und dabei den Überblick zu verlieren.“

Flexera empfiehlt ein standardisiertes, risikobasiertes Management der Meltdown und Spectre Schwachstellen. Der Ansatz basiert auf den Secunia Research Advisories und beinhaltet drei grundlegende Schritte:

  1. Kritikalitätsbestimmung – Das tatsächliche Risiko von Spectre und Meltdown wird anhand verifizierter Vulnerability Intelligence bestimmt
  2. Priorisierung – Auf Basis ihrer Kritikalität werden Prioritäten zur Behebung bekannter Schwachstellen gesetzt
  3. Konservative Schadensminimierung – Patches werden in Verbindung mit entsprechenden Tests in kontrollierten Umgebungen angewendet.

Etablierte Prozesse und Tools stellen sicher, dass unbeabsichtigte Folgen des Patch Managements im Vorfeld identifiziert und potentielle Performanceeinschränkungen und Kompatibilitätsprobleme wenn möglich umgangen werden können.

Weitere Informationen von Flexera:

Über Secunia Research von Flexera
Secunia Research von Flexera ist ein Forschungsteam mit weltweit anerkannter Expertise in der Entdeckung, Verifizierung, Prüfung, Validierung und Dokumentation von Softwareschwachstellen in Zehntausenden von Anwendungen und Systemen. Unsere Experten folgen strengen ethischen Richtlinien und arbeiten mit anderen Forschern sowie Softwareherstellern zusammen, um die Qualität der bereitgestellten Schwachstelleninformationen sicherzustellen.

Folgen Sie Flexera…

Über Flexera
Flexera hat eine neue Art und Weise, wie Software gekauft, verkauft, verwaltet und sicherer wird. Dabei betrachtet Flexera die Softwareindustrie als eine Supply Chain und versetzt seine Kunden in die Lage, ihren Einkauf und Verkauf von Software und Technologie-Asset-Daten gewinnbringender, zuverlässiger und effektiver zu gestalten. Unsere Monetarisierungs- und Sicherheitslösungen unterstützen Softwareverkäufer bei der Transformation ihrer Geschäftsmodelle zur Steigerung wiederkehrender Umsätze und zur Minimierung der aus Open Source resultierenden Risiken. Unsere Lösungen für Vulnerability und Software Asset Management (SAM) reduzieren Verschwendung und Ungewissheit beim Erwerb von Anwendungen und unterstützen Unternehmen dabei, zielgerichtet nur die benötigten Software- und Cloud-Services zu kaufen, vorhandene Software zu verwalten und Risiken im Zusammenhang mit Compliance und Sicherheit zu reduzieren. Flexera stellte die weltweit größte und umfangreichste Sammlung von Marktinformationen zu IT-Assets zusammen, mit der diese Lösungen und die gesamte Software-Lieferkette unterstützt werden. Wir sind seit über 30 Jahren im Geschäft. Über 1200 motivierte Mitarbeiter tragen dazu bei, dass unsere mehr als 80.000 Kunden Jahr für Jahr Renditen in Millionenhöhe erzielen. Besuchen Sie uns unter www.flexera.de.

Über Secunia Research von Flexera
Secunia Research von Flexera ist ein Forschungsteam mit weltweit anerkannter Expertise in der Entdeckung, Verifizierung, Prüfung, Validierung und Dokumentation von Softwareschwachstellen in Zehntausenden von Anwendungen und Systemen. Unsere Experten folgen strengen ethischen Richtlinien und arbeiten mit anderen Forschern sowie Softwareherstellern zusammen, um die Qualität der bereitgestellten Schwachstelleninformationen sicherzustellen.

Wenden Sie sich für weitere Informationen an:

Flexera
Amanda Ingalls
(949) 241-1515
Aingalls@flexera.com

* Alle Marken von Drittanbietern sind Eigentum der jeweiligen Inhaber.