Información importante para nuestros clientes

Estimados clientes,

Seguramente se habrán enterado por la prensa diaria de que la Oficina Federal de Seguridad de la Información (BSI) está emitiendo un nuevo nivel de advertencia.
Según la BSI, la vulnerabilidad crítica (Log4Shell) en la ampliamente utilizada biblioteca Java Log4j conduce a una situación de amenaza extremadamente crítica. Por lo tanto, la BSI ha elevado su advertencia de ciberseguridad existente al nivel de advertencia rojo. La razón de esta evaluación es el uso muy extendido del producto afectado y los efectos asociados en otros innumerables productos.

En primer lugar, es importante señalar que el Grupo ZEISS se toma muy en serio estas advertencias y que la seguridad de nuestros productos tiene la máxima prioridad posible.

Sin embargo, nos gustaría ayudarle con respecto a la advertencia de la BSI y quitarle de forma transparente sus comprensibles preocupaciones.

Qué podemos decir sobre nuestros productos en este momento:

  • Las investigaciones, sobre el grado de afectación de los productos de ZEISS por las preocupaciones fundamentales del BSI en cuestión, se llevan a cabo constantemente en ZEISS, independientemente de los informes de la prensa diaria, por lo que siempre está al día.
  • Las aplicaciones actuales de ZEISS IQS, en particular, no están desarrolladas sobre la base de Java y, por lo tanto, no contienen ningún componente que esté sujeto a la actual advertencia de seguridad emitida por el BSI.
  • Por supuesto, le mantendremos informado como siempre en el marco de nuestros continuos análisis de seguridad.
  • En caso de que usted mismo descubra algún problema de seguridad, le rogamos que nos lo comunique lo antes posible.

En el caso de los productos que se enumeran a continuación (no son exhaustivos), tras el análisis, basado en la opinión de BSI sobre la amenaza de (CVE-2021-44228), podemos excluir la posibilidad de que exista un riesgo en este sentido. El motivo es que no se ha implementado "Log4J" en los productos.

Según los conocimientos de que disponemos actualmente, no existe ninguna amenaza para las versiones actuales y los componentes de terceros que contienen en relación con la advertencia de seguridad emitida por la BSI.

Los productos analizados son los siguientes:

ZEISS ACCTee Pro
ZEISS AirSaver
ZEISS BLADE PRO
ZEISS CALIGO
ZEISS CALYPSO
ZEISS CMM-OS
ZEISS CMM-OS NEO
ZEISS FixAssist CT
ZEISS GEAR PRO
ZEISS iDA
ZEISS License Management Tool
ZEISS MCC
ZEISS METROTOM OS
ZEISS NEO pixel
ZEISS NEO select
ZEISS PiWeb
ZEISS PiWeb Cloud
ZEISS REVERSE ENGINEERING
ZEISS Smart Services Dashboard
ZEISS Stylus System Creator
ZEISS TEMPAR
ZEISS ZAPHIRE
ZEISS ABIS Softwarepakete
ZEISS ABIS Planner
ZEISS Intact 1200 /1600 Software
ZEISS Colin 3D
ZEISS T-Scan Collect (Interface)
ZEISS HOLOS
VISIO7
ZEISS SES viewer
ZEISS NEO viewer
NZDI
ZEISS CMM Agent
ZEISS DeviceActivator
ZEISS Tracer Service

El firmware C99 utilizado en las máquinas de medición no utiliza una biblioteca Log4j. Por lo tanto, todas las máquinas de medición en las que se utiliza el firmware no se ven afectadas por la brecha de seguridad.

Esta lista no es exhaustiva y se ampliará si es necesario tras el correspondiente análisis de seguridad.

Este anuncio se basa en el estado del 12 de enero de 2022 a las 12:00 horas.

Estaremos encantados de responder a sus preguntas con nuestro equipo de soporte de productos (software -support .metrology .de @zeiss .com) y nuestro departamento de seguridad.