Bewertungssystem mit Prioritäten und Schweregraden für Sicherheitsbulletins

Das Priorisierungssystem von Adobe unterstützt Kunden in verwalteten Umgebungen bei der Priorisierung von Adobe-Sicherheitsupdates. Die Priorisierung erfolgt auf Basis bekannter Angriffsmuster für die relevanten Produkte, der Art der Sicherheitslücke, der betroffenen Plattformen sowie der potenziell vorhandenen Gegenmaßnahmen.

Prioritäten werden wie folgt definiert:

Bewertung Definition
Priorität 1 Updates mit dieser Priorität beheben Schwachstellen für eine bestimmte Produktversion und Plattform, die von sich im Umlauf befindlichen Exploits angegriffen werden bzw. für die ein erhöhtes Risiko besteht, angegriffen zu werden. Adobe empfiehlt Administratoren, Updates mit dieser Priorität so bald wie möglich zu installieren (zum Beispiel innerhalb von 72 Stunden).
Priorität 2 Updates mit dieser Priorität beheben Schwachstellen bei Produkten mit erhöhtem Sicherheitsrisiko. Es gibt keine bekannten Exploits für diese Schwachstellen. Erfahrungsgemäß muss nicht von einem unmittelbaren Risiko ausgegangen werden. Adobe empfiehlt die zeitnahe Installation des Updates (zum Beispiel innerhalb von 30 Tagen).
Priorität 3 Updates mit dieser Priorität beheben Schwachstellen bei Produkten, die nicht als Angriffsziel bekannt sind. Adobe empfiehlt Administratoren, das Update nach eigenem Ermessen zu installieren.

Das Bewertungssystem nach Schweregraden von Adobe hilft Adobe-Entwicklern, die Auswirkungen von bekannten Sicherheitslücken einzuschätzen.

Schweregrade werden wie folgt definiert:

Bewertung Definition
Kritisch Eine Schwachstelle gilt als kritisch, wenn sie die potenziell unbemerkte Ausführung von schadhaftem nativem Code ermöglicht.
Wichtig Eine Schwachstelle, die möglicherweise die Datensicherheit so beeinträchtigt, dass Angreifer auf wichtige Daten zugreifen können, oder die möglicherweise die Systemleistung auf Anwenderseite beeinträchtigt.
Mittel Eine Schwachstelle, die kaum Auswirkungen auf die Standardkonfiguration eines Produkts hat, schwer auszunutzen ist oder beim Auditing auffällt.