Informations importantes pour nos clients

Chers clients,

Vous avez probablement appris par la presse quotidienne que l'Office fédéral de la sécurité de l'information (BSI) émet actuellement un nouveau niveau d'alerte.
Selon le BSI, la vulnérabilité critique (Log4Shell) dans la bibliothèque Java Log4j, largement utilisée, entraîne une situation de menace extrêmement critique. Le BSI a donc fait passer son avertissement existant en matière de cybersécurité au niveau d'alerte rouge. La raison de cette évaluation est l'utilisation très répandue du produit affecté et les effets associés sur d'innombrables autres produits.

Tout d'abord, il est important de noter que le groupe ZEISS prend de tels avertissements très au sérieux et que la sécurité de nos produits a la plus haute priorité possible.

Cependant, nous aimerions vous aider en ce qui concerne l'avertissement du BSI et dissiper en toute transparence vos inquiétudes compréhensibles.

Que pouvons-nous dire sur nos produits pour le moment ?

  • Les investigations, visant à déterminer dans quelle mesure les produits ZEISS sont concernés par les préoccupations fondamentales du BSI en question, sont menées en permanence chez ZEISS, indépendamment des rapports de la presse quotidienne, afin d'être toujours à jour.

  • Les applications actuelles de ZEISS IQS, en particulier, ne sont pas développées sur la base de Java et ne contiennent donc aucun composant faisant l'objet de l'avertissement de sécurité actuel émis par le BSI.

  • Bien entendu, nous vous tiendrons informés comme d'habitude dans le cadre de nos analyses de sécurité en cours.


Si vous découvrez vous-même des problèmes de sécurité, nous vous demandons de nous en informer le plus rapidement possible.
Pour les produits énumérés ci-dessous (liste non exhaustive), nous pouvons, après analyse, sur la base de l'avis du BSI sur la menace de (CVE-2021-44228), exclure la possibilité qu'il existe un risque à cet égard. La raison en est qu'aucun "Log4J" n'est implémenté dans les produits.

Selon les connaissances dont nous disposons actuellement, les versions actuelles et les composants tiers qu'elles contiennent ne présentent aucune menace par rapport à l'avertissement de sécurité émis par la BSI.

Les produits analysés sont les suivants :

ZEISS ACCTee Pro
ZEISS AirSaver
ZEISS BLADE PRO
ZEISS CALIGO
ZEISS CALYPSO
ZEISS CMM-OS
ZEISS CMM-OS NEO
ZEISS FixAssist CT
ZEISS GEAR PRO
ZEISS iDA
ZEISS License Management Tool
ZEISS MCC
ZEISS METROTOM OS
ZEISS NEO pixel
ZEISS NEO select
ZEISS PiWeb
ZEISS PiWeb Cloud
ZEISS REVERSE ENGINEERING
ZEISS Smart Services Dashboard
ZEISS Stylus System Creator
ZEISS TEMPAR
ZEISS ZAPHIRE
ZEISS ABIS Softwarepakete
ZEISS ABIS Planner
ZEISS Intact 1200 /1600 Software
ZEISS Colin 3D
ZEISS T-Scan Collect (Interface)
ZEISS HOLOS
VISIO7
ZEISS SES viewer
ZEISS NEO viewer
NZDI
ZEISS CMM Agent
ZEISS DeviceActivator
ZEISS Tracer Service

Le micrologiciel C99 utilisé dans les machines à mesurer n'utilise pas de bibliothèque Log4j. Toutes les machines de mesure dans lesquelles le micrologiciel est utilisé ne sont donc pas concernées par la faille de sécurité.

Cette liste n'est pas exhaustive et sera complétée si nécessaire après une analyse correspondante relative à la sécurité.

Cette annonce est basée sur la situation au 12 janvier 2022 à 12h00.

Notre équipe d'assistance produit (software -support .metrology .de @zeiss .com) et notre service de sécurité sont à votre disposition pour répondre à vos questions.