Na, wer hat beim Lesen der Überschrift gleich reflexartig gedacht: „Nur eine 4? Das patchen wir nicht.“? Aber hier geht es nicht um eine Sicherheitslücke, die es in der CVSS-Olympiade nur auf einen niedrigen Wert geschafft hat, sondern um das Bewertungssystem selbst. Die Version 4.0 des Common Vulnerability Scoring System (CVSS) wurde Anfang November veröffentlicht.
Die Rechenregeln für die Base-Metric haben sich leicht geändert. Deutlich stärker haben sich die abgeleiteten Metriken gewandelt, die das tatsächliche Risiko einer Ausnutzung der Lücke durch Mitbetrachtung der Bedrohungslage und/oder des Schutzbedarfs der konkreten Nutzung besser beschreiben.
Geblieben ist das Problem, eine komplexe Entscheidung über die Behandlung von Risiken auf eine simple Nummer zu reduzieren. Mit ihrer Nachkommastelle und der mathematischen Rechenregel für die Herleitung fällt es leicht, die Zahl als formalen Fakt zu nutzen. Aber die Base-Metric, die fälschlicherweise häufig für Entscheidungen zum Patchen herangezogen wird, weil sie immer direkt an den CVE-Meldungen dran steht, ist laut CVSS-Standard gar kein Maß für Risiken. Mit dem Base-Score wird die „Schwere“ der Lücke im Allgemeinen beschrieben, für eine Annäherung an das Risiko werden Threat-Metric, Enviromental-Metric oder noch besser die Kombination aus beiden empfohlen.
- CVSS 4.0 Standard und interaktiver Rechner: https://www.first.org/cvss/v4.0/user-guide
- Zusammenfassung der wichtigsten Änderungen bei Heise Online: https://www.heise.de/hintergrund/Die-wichtigsten-Aenderungen-der-neuen-Schwachstellenbewertung-CVSS-4-0-9318903.html?seite=all