Microsoft führt maschinenlesbare CSAF-Dateien für CVE-Transparenz ein

Das Microsoft Security Response Center (MSRC) kündigt in seinem neuesten Transparenz-Update die Einführung des Common Security Advisory Frameworks (CSAF) als maschinenlesbares Format für CVE-Informationen an. Dieser Schritt soll Kunden helfen, schneller auf Sicherheitslücken zu reagieren und Maßnahmen zur Risikominimierung zu implementieren. Die Einführung von CSAF erfolgt ergänzend zu den bisherigen CVE-Datenkanälen und wird neben der CVE-API und dem Security Update Guide von Microsoft angeboten.

CSAF, das den bisherigen CVRF-Standard ablöst, ist ein von Oasis verwaltetes Format und speziell für automatisierte Systeme konzipiert. Diese Umstellung ist Teil von Microsofts Engagement, Transparenz und Sicherheit über die gesamte Lieferkette hinweg zu fördern, einschließlich in Produkten integrierter Open-Source-Software. Nutzer können die aktuellen CSAF-Dateien über das neue Verzeichnis im Security Update Guide abrufen oder auf die security.txt-Datei verlinken, die ebenfalls den Zugriffspunkt für CSAF-Dateien enthält.

Related Posts

Dresden: IT Mitarbeiter kopiert Daten von 430.000 Bürgern auf Privatgeräte

Am 8. November 2024 gab die Landeshauptstadt Dresden bekannt, dass der Eigenbetrieb IT-Dienstleistungen wegen eines möglichen Verstoßes gegen das Sächsische Datenschutzdurchführungsgesetz Ermittlungen unterstützt. Ein Mitarbeiter wird verdächtigt, unbefugt das Wahlbenachrichtigungsverzeichnis der Stadt Dresden auf einem privaten Speichermedium gespeichert zu haben. Dieses Verzeichnis umfasst sensible Daten aller wahlberechtigten Dresdner Bürger, darunter Namen, Adressen und Geburtsdaten.

Read More

Aktiver Exploit von CVE-2024-10914: Command Injection bei D-Link NAS-Modellen

Ein Command Injection Vulnerability (CVE-2024-10914) betrifft mehrere D-Link NAS-Modelle, darunter die DNS-320, DNS-325 und DNS-340L. Diese Schwachstelle im account_mgr.cgi-Script ermöglicht es einem Angreifer, durch das unsichere name-Parameter Management in der cgi_user_add-Funktion über HTTP GET-Requests beliebige Shell-Befehle einzuschleusen.

Read More

Mehrere Schwachstellen im Mazda In-Vehicle-Infotainmentsystem entdeckt

Am 7. November 2024 meldete Sicherheitsforscher Dmitry Janushkevich, dass mehrere kritische Schwachstellen im Mazda Connect Connectivity Master Unit (CMU) System entdeckt wurden, das in Mazda-Fahrzeugmodellen von 2014 bis 2021 verbaut ist. Diese Schwachstellen, die durch unzureichende Validierung von Eingaben verursacht werden, ermöglichen es Angreifern mit physischem Zugriff, über manipulierte USB-Geräte wie iPods oder Massenspeichergeräte beliebigen Code mit Root-Rechten auszuführen.

Read More