Intel Security

Boletins de segurança de produtos

Saiba mais sobre nossas práticas de segurança de software

Faça o download agora

A Intel Security (outrora McAfee) está profundamente focada em garantir a segurança de computadores, redes, dispositivos e dados de seus clientes. Nós temos o compromisso de lidar rapidamente com problemas no momento em que eles surgirem, e de oferecer recomendações através de boletins de segurança e artigos da base de conhecimentos.

Envie uma amostra de vírus Fale com o suporte técnico Fale com o PSIRT
Boletins de segurança

Se você tiver informações sobre algum problema de segurança ou vulnerabilidade de produtos da McAfee / Intel Security, envie um e-mail para secure@intel.com com cópia para PSIRT@IntelSecurity.com. Criptografe informações confidenciais usando a chave pública PGP da Intel.
Forneça o máximo de informações que puder, incluindo:

  • Informações de contato do descobridor:
    • Nome (completo ou apelido)
    • Endereço físico (no nível do estado, não endereço completo)
    • Afiliação / Empresa
    • Endereço de e-mail
    • Número do telefone
  • Informações sobre o produto:
    • Os produtos e/ou versões de hardware afetados (número de compilação, caso conhecido)
    • Sistema operacional, caso conhecido
    • Software e/ou configuração de hardware
  • Informações sobre vulnerabilidade:
    • Descrição detalhada da vulnerabilidade
    • Código de exemplo usado para criar/verificar a vulnerabilidade
    • Informações sobre explorações conhecidas
    • Número de CVE, caso a vulnerabilidade já tenha sido registrada
    • URL ou link para a obtenção de mais informações que podem ajudar a engenharia a analisar ou identificar a causa raiz
  • Planos de comunicação:
    • Planos de divulgação
    • Permissão para ser reconhecido como descobridor no boletim de segurança

Um membro do McAfee Product Security Group (PSG) e/ou do Product Security Incident Response Team (PSIRT) analisará seu e-mail e entrará em contato com você para ajudar a resolver o problema.

Triagem

Vulnerabilidades de produto relatadas por fontes externas são tratadas pelo McAfee Product Security Group. Para outros problemas, consulte uma das equipes abaixo:

Vulnerabilidades de aplicativos Web e aplicativos de TI relatadas por fontes externas são tratadas pelo centro de operações de segurança (SOC) dos serviços de segurança globais (GSS) da McAfee.

Vulnerabilidade de aplicativos de TI ou Web
Centro de operações de segurança (SOC) da McAfee
E-mail: abuse.report@mcafee.com
Telefone: +1 972-987-2745

Consultas externas sobre o desempenho de produtos ativamente comercializados são tratadas pelo suporte técnico da McAfee.

Problema com a assinatura ou o desempenho de um produto ou software
Suporte técnico da McAfee
Web: http://www.mcafee.com/br/support.aspx

Amostras de vírus e malware são tratadas pelo McAfee Labs.

Envie uma amostra de vírus
McAfee Labs
E-mail: virus_research@mcafee.com
Web: http://www.mcafee.com/br/threat-center/resources/how-to-submit-sample.aspx

Entre em contato com o PSIRT da Intel Security/McAfee
E-mail: secure@intel.com
Telefone: +1 408-753-5752

Entre em contato com o PSIRT da Intel
Intel Product Security Center
E-mail: secure@intel.com
Site: https://security-center.intel.com

Declarações de políticas do PSIRT

Decisivo
A Intel Security não anunciará publicamente vulnerabilidades de produtos ou software sem que haja um patch, um hotfix, uma atualização de versão ou uma solução alternativa para o problema; do contrário, nós estaríamos apenas informando à comunidade hacker que nossos produtos são um alvo e colocando nossos clientes em uma posição muito arriscada.

Sem favoritismo
A Intel Security revela as vulnerabilidades de produtos a todos os clientes ao mesmo tempo. Em circunstâncias normais, os clientes grandes não são avisados com antecedência. O PSG pode emitir avisos com antecedência analisando cada caso individualmente, e apenas mediante um contrato rigoroso de confidencialidade.

Descobridores
A Intel Security só dá crédito aos descobridores de vulnerabilidades nestas circunstâncias:

  • Quando eles querem ser identificados como descobridores.
  • Quando eles não revelam publicamente a vulnerabilidade no “dia zero”, antes do boletim de segurança ou do artigo do KB ser publicado.

Organizações, indivíduos ou ambos podem ser identificados como descobridores.

Pontuação CVSS
A versão mais recente do sistema comum de pontuação de vulnerabilidades (CVSS, Common Vulnerability Scoring System) deve ser usada. O CVSS v3 está sendo usado no momento.

Todos os boletins de segurança devem incluir as pontuações do CVSS para cada vulnerabilidade, bem como os vetores de CVSS associados. As pontuações básicas e temporais são necessárias. As pontuações básicas devem corresponder às pontuações atribuídas pelo NIST para CVEs. 

Mensagem do Support Notification Service (SNS)
Todos os boletins de segurança exigem uma mensagem, um aviso ou um alerta do Support Notification Service (SNS). Esse é um serviço no qual os clientes do Intel Security Enterprise Support e outros clientes confiam.

Para inscrever-se e receber alertas de texto do SNS, acesse o SNS Request Center (centro de solicitações do SNS) e “Create a New Account” (criar uma nova conta).

Política de resposta
A resposta da Intel Security para alertas e correções depende da pontuação básica mais alta de CVSS.

Prioridade (segurança)Pontuação CVSS v2Resposta típica para correçõesSNS
P1 - Crítica 8,5-10 Alta Hotfix Alerta
P2 - Alta 7-8,4 Alta Patch Aviso
P3 - Média 4-6,9 Média Patch Aviso
P4 - Baixa 0-3,9 Baixa Atualização de versão Opcional
P5 - Info 0 Não será corrigido. Informativo. ND


Mecanismos externos de comunicação
O mecanismo externo de comunicação da Intel Security depende da pontuação CVSS básica, da quantidade de consultas dos clientes e do volume de atenção da mídia.                                    

  • SB = Boletim de segurança (4-10)
  • KB = Artigo da base de conhecimentos (2-4)
  • SS = Declaração de sustentação (0-4)
  • NN = Não é necessário(0)
 CVSS = 0
Baixa
0 < CVSS < 4
Baixa
4 ≤ CVSS < 7
Média
7 ≤ CVSS ≤ 10
Alta
Divulgação externa (CVE) KB em caso de várias consultas, senão NN KB SB, SNS SB, SNS
Divulgação ao cliente SS SS SB, SNS SB, SNS
Divulgação interna NN NN Documentação nas notas de versão SB
(pós-lançamento)


Cenários de crise
Para vulnerabilidades de alta gravidade divulgadas ao público afetando vários produtos da , um boletim de segurança pode ser publicado com um patch para um produto e ser atualizado mais tarde com outros patches e descrições para os outros produtos, quando eles estiverem disponíveis.

Boletins de segurança com vários produtos vulneráveis apresentarão uma listagem de todos os produtos, sejam eles empresariais ou voltados para o consumidor, nas seguintes categorias:

  • Vulneráveis e atualizados
  • Vulneráveis e ainda não atualizados
  • Vulneráveis mas de baixo risco (considerando-se as práticas recomendadas de distribuição padrão)
  • Não vulneráveis
  • Em investigação (opcional)

Boletins de segurança geralmente não são publicados nas tardes de sexta, exceto em cenários de crise.

Pontuações de vulnerabilidade x riscos
A Intel Security participa do sistema de pontuação de vulnerabilidades padrão do setor, o CVSS. As pontuações CVSS devem ser consideradas como um ponto de partida para determinar o risco que uma vulnerabilidade específica pode representar para os clientes da Intel Security. A pontuação CVSS não deve ser confundida com uma classificação de risco da gravidade das vulnerabilidades que podem ocorrer nos produtos da Intel Security/McAfee ou nos ambientes de tempo de execução associados que executem os produtos da Intel Security.

Para complementar a pontuação CVSS, a Intel Security usa o sistema “Just Good Enough Risk Rating” (JGERR) para classificar o risco de qualquer problema em potencial que possa afetar os produtos da Intel Security. O SANS Institute Smart Guide aderiu ao JGERR em 2012. O JGERR se baseia no “Factor Analysis of Information Risk” (FAIR), um padrão do Open Group. Na classificação de risco com o JGERR, fatores adicionais como a presença e a atividade de agentes de ameaças, vetores de ataque, exposição de uma vulnerabilidade a agentes de ameaça e impactos de explorações são considerados na análise de risco. A vulnerabilidade isolada é apenas um aspecto da classificação de risco da Intel Security.

A pontuação CVSS básica determina nossa resposta inicial a um incidente. A classificação de risco da Intel Security determina a rapidez com a qual forneceremos um patch ou uma atualização.

Os boletins de segurança podem conter listas de produtos com as seguintes designações: Vulnerável, Não vulnerável, Vulnerável mas não explorável e Vulnerável mas de baixo risco. A lista abaixo descreve o que cada uma dessas categorias significa em termos de possível impacto para o cliente:

  • Vulnerável: O produto contém a vulnerabilidade. A vulnerabilidade representa algum nível de risco para o cliente. A pontuação CVSS associada pode ser vista como um indicador da gravidade do impacto da exploração da vulnerabilidade em cenários típicos de distribuição.
  • Não vulnerável: Um produto não contém a vulnerabilidade ou a presença de um componente vulnerável não pode ser explorada de nenhuma maneira. O uso do produto não apresenta riscos adicionais para o cliente.
  • Vulnerável mas não explorável: Um produto contém a vulnerabilidade, talvez na forma de uma biblioteca ou de um executável incluído na imagem, mas o produto oferece controles de segurança suficientes para que a vulnerabilidade não seja exposta a agentes de ameaças, fazendo com que sua exploração seja muito difícil ou impossível. O uso do produto não apresenta riscos adicionais para o cliente.
  • Vulnerável mas de baixo risco: Um produto contém a vulnerabilidade, talvez na forma de uma biblioteca ou de um executável incluído na imagem do software, mas o impacto da exploração é irrelevante e sua exploração não oferece valor adicional ao atacante. O uso do produto provavelmente apresenta um risco adicional pequeno para clientes que o usem em cenários de distribuição típicos e recomendados.