Im Dezember wurde mit CVE-2019-19781 eine kritische Schwachste in Citrix publiziert und behoben. Diese wurde durch die Medien aufgegriffen und als grosse Bedrohung tituliert. Der Journalist Daniel Schurter von watson.ch hat mit Marc Ruef diskutiert, ob und wie kritisch diese Schwachstelle wirklich ist. Unter anderem wurde der Beitrag auch in der Aargauer Zeitung und dem St. Galler Tagblatt publiziert.

Es handelt sich zwar um eine überdurchschnittlich kritische Schwachstelle. Diese ist jedoch nicht wirklich etwas Ungewöhnliches. Microsoft hat zum Beispiel im Januar Patchday einige Schwachstellen ähnlichen Ausmasses behoben. Konkret zu kritisieren gilt es sicher Project Zero India, die einen Exploit zur Schwachstelle an einem Wochenende publiziert hat. Durch diesen krassen Widerspruch, wie wir ihn zum Beispiel in unseren hauseigenen Vulnerability Disclosure Guidelines dokumentieren, hat man nicht im Sinne der Defensive-Community gehandelt.

Links

• https://support.citrix.com/article/CTX267679
• https://vuldb.com/de/?id.147804
• https://www.aargauerzeitung.ch/schweiz/bund-warnt-betreiber-kritischer-infrastrukturen-vor-gefaehrlicher-sicherheitsluecke-136231303
• https://www.tagblatt.ch/newsticker/schweiz/bund-warnt-betreiber-kritischer-infrastrukturen-vor-gefaehrlicher-sicherheitsluecke-ld.1185676
• https://www.watson.ch/!326956428

Tags