Datenschutz & Sicherheit

Lückenflut durch KI-Funde – Software-Hersteller schrauben an Patch-Strategien


Adobe, Mozilla und Oracle haben es schon getan, Google hat es für Chrome ab September angekündigt. Nun zieht auch Cisco nach: Ab diesem Monat erscheinen die Sicherheitsupdates des Herstellers in kürzeren, konkret zweiwöchentlichen Intervallen. Das kündigt Cisco in einem Blogeintrag an.

Weiterlesen nach der Anzeige

Mit verkürzten Updatezyklen und verschiedenen Anpassungen ihres Umgangs mit Schwachstellen reagieren Hersteller auf die hereinbrechende „Vulnocalypse“. Eine Flut von Sicherheitslücken, die auf den sich rasant verbessernden Fähigkeiten von großen Sprachmodellen (Large Language Models, LLMs) zur eigenständigen Lückensuche fußt.

Deren bereits deutlich spürbare Auswirkungen zeigte etwa Microsofts Rekord-Patchday im Juni, im Zuge dessen das Unternehmen über 200 Sicherheitslücken schloss – viele davon entdeckt von KI-Agenten. Im Juni des Vorjahres waren es noch um die 60. Ein anderes Beispiel: Die Firefox-Patch-Bilanz belief sich dank Anthropics KI-Modell „Mythos“ im April auf 423 Lücken gegenüber 76 Lücken im März. In der Konsequenz veröffentlicht Mozilla jetzt Sicherheitsupdates im Wochentakt.

Beim Chrome-Browser hat die Dichte gemeldeter Lücken in ähnlicher Weise zugenommen – ab Version 153 erhöht deshalb auch Google das Aktualisierungstempo.

Bereitgestellte Patches nützen logischerweise nur dann, wenn sie von Nutzern beziehungsweise IT-Verantwortlichen auch eingespielt werden. Damit die Patch-Flut nicht ebenso unkontrollierbar wird wie die Lückenflut, haben sich die Hersteller unterschiedliche Strategien überlegt.

So veröffentlicht beispielweise Cisco künftig spezielle „Informational“ Advisories, die Kunden bereits eine Woche vor dem nächsten Update-Release darüber informieren, für welche Plattformen Aktualisierungen geplant sind – und ob es überhaupt welche geben wird. Das erste dieser Advisories ist als Vorankündigung für den 15. Juli bereits verfügbar.

Weiterlesen nach der Anzeige

Bei der Update-Bereitstellung will das Unternehmen auf Basis eines „risikobasierten Schwachstellenveröffentlichungs-Modells“ kritische Lücken stärker priorisieren. Diesen Ansatz hat auch Oracle gewählt: Seit Mai veröffentlicht das Unternehmen laut einer entsprechenden Ankündigung monatliche „Critical Security Patch Updates“ (CSPUs), die sich auf „zielgerichtete Fixes für kritische Sicherheitsprobleme“ konzentrieren. Kunden hätten somit die Möglichkeit, solche Probleme sofort anzugehen, ohne auf das reguläre quartalsweise erscheinende Update-Release warten zu müssen.

Zeitersparnis als positiven Effekt häufigerer Veröffentlichungen betont auch Adobe: „Sicherheitsupdates erreichen Sie schneller, auf Basis eines vorhersehbaren Zyklus, mit dem Sie planen können“, schreibt das Unternehmen in einem Blogeintrag zu seinem neu eingeführten zweiwöchentlichen Update-Zyklus.

Das klingt erst einmal positiv – und kann doch nicht darüber hinwegtäuschen, dass die aufziehende „Vulnocalypse“ Admins letztlich insgesamt mehr Arbeit beschert und ein ausgefeiltes Update-Management erforderlich macht.

Spannend wird, ob eine weitere Neuerung bei der Update-Bewältigung eher hilfreich oder hinderlich sein wird: Cisco will Schwachstellen mit übereinstimmenden Charakteristika gemäß Common Weakness Enumeration (CWE) künftig gruppieren, um Zeit zu sparen.

Statt eigener CVE-IDS bekommen sie dann gemeinsame „Schirm“-CVE-IDs mit einem CVSS-Score auf Basis der gefährlichsten Schwachstelle. Ausnahmen will Cisco nur in dringenden Fällen machen – etwa dann, wenn aktive Exploits gesichtet wurden oder bestimmte Aktionen seitens der IT-Verteidiger erforderlich sind.

Dies sei die Richtung, in die sich die Industrie angesichts der neuen Bedrohungslandschaft bewegen müsse, schreibt das Unternehmen. Die praktischen Auswirkungen insbesondere im Hinblick auf Transparenz und Zuverlässigkeit künftig vergebener IDs und Scores bleiben abzuwarten.


(ovw)



Source link

Beliebt

Die mobile Version verlassen