15.11.2021 - Das NCSC hat eine ihm von der ETH Zürich gemeldete IT-Schwachstelle geprüft und als autorisierte Fachstelle erstmals eine Identifikationsnummer vergeben. Die von den Forschern der ETH Zürich, der Qualcomm und der Vrije Universiteit Amsterdam entdeckte Schwachstelle namens «Blacksmith» wurde nun veröffentlicht.
NCSC vergibt erstmals international gültige «Common Vulnerabilities and Exposure»-Identifikationsnummer
Damit das Ausnutzen von Schwachstellen in Informatiksystemen möglichst vermieden werden kann, ist eine rasche Behebung und die weltweite Information von Betreibern und Herstellern von hoher Wichtigkeit. Im Cyberbereich hat die gemeinnützige Organisation MITRE eine international zugängliche Wissensdatenbank geschaffen, die einen umfassenden Überblick über mögliche Bedrohungen und die dazugehörigen Sicherheitsupdates gibt. Jeder gemeldeten Schwachstelle, genannt «Common Vulnerabilities and Exposure» (CVE), wird eine eindeutige CVE-Identifizierungsnummer zugewiesen. Das NCSC wurde im September dieses Jahres von MITRE als Autorisierungsstelle und damit zur Vergabe von CVE-Nummern anerkannt. Als autorisierte Fachstelle ist das NCSC verantwortlich für die Prüfung, Koordination und die Publikation von entdeckten Schwachstellen.
ETH Zürich entdeckt und meldet Schwachstelle
Im ersten Quartal dieses Jahres meldeten Forscher der ETH Zürich, von Qualcomm und der Vrije Universiteit Amsterdam dem NCSC eine entdeckte Schwachstelle auf einem Speicherchip. Die Schwachstelle, die von den Forschern «Blacksmith» genannt wird, betrifft alle Geräte, die einen bestimmten RAM-Chip verwenden. Hergestellt wird dieser RAM-Chip von den Herstellern Samsung, SK Hynix und Micron und wird von verschiedenen Technologiefirmen verwendet. Da die betreffenden RAM-Chips weltweit im Einsatz sind, wird die Schwachstelle als kritisch eingestuft. Jedoch wird das Risiko eines Missbrauches als gering eingeschätzt, da der Aufwand sehr gross ist, diese auszunutzen. Weitere Informationen zur Schwachstelle «Blacksmith» finden sich im Forschungspapier der ETH-Zürich.
NCSC prüft und koordiniert
Als neu autorisierte Fachstelle ist das NCSC Bindeglied zwischen Entdeckenden von Schwachstellen, Herstellern, Betreibern und der Organisation MITRE. In dieser Rolle prüft das NCSC die Schwachstelle, vergibt eine CVE-Identifikationsnummer und koordiniert deren Veröffentlichung. Die «Blacksmith»-Schwachstelle ist die erste Schwachstelle, bei der das NCSC die offizielle CVE Nummer vergab und alle Schritte bis zur Veröffentlichung koordinierte. Die Schwachstelle «CVE-2021-42114» wurde gemeinsam mit der ETH am 15. November 2021 veröffentlicht.
Letzte Änderung 15.11.2021