产品安全公告

 

了解有关我们产品软件安全实践的更多信息

立即下载

McAfee 主要致力于确保客户的计算机、网络、设备和数据安全。我们承诺在发生问题时快速解决问题,并通过安全公告和知识库文章提供建议。

提交病毒样本 联系技术支持 联系 PSIRT
McAfee 了解影响所有 Windows 程序的 DoubleAgent 攻击。

McAfee 产品具有自我保护机制,有助于减少该类攻击影响,并且正在进行审查以提供更多保护。

有关更多信息,请参阅博文 SB10192KB88085
安全公告

如果您掌握有迈克菲/Intel Security 产品的安全问题或漏洞,请发送电子邮件至 secure@intel.com 并抄送 PSIRT@IntelSecurity.com。使用 Intel 的 PGP 公钥加密敏感信息。
请提供尽可能多的信息,包括:

  • 发现人的联系信息:
    • 姓名(全名或昵称)
    • 物理地址(精确至国家级,而非完整地址)
    • 附属机构/公司
    • 电子邮件地址
    • 手机号码
  • 产品信息:
    • 受影响的产品和/或硬件版本(内部版本号,如果已知)
    • 操作系统,如果已知
    • 软件和/或硬件配置
  • 漏洞信息:
    • 漏洞的详细描述
    • 用于创建/验证漏洞的示例代码
    • 已知漏洞利用攻击信息
    • CVE 数量(如果已对漏洞进行存档的话)
    • 可能帮助执行工程分析或识别根源的进一步信息的 URL 或链接
  • 通信计划:
    • 披露计划
    • 公认为安全公告发现人的权限

McAfee Product Security Group (PSG) 和/或 Product Security Incident Response Team(PSIRT,产品安全事件响应小组)成员将审核您的电子邮件,联系您协同解决相关问题。

分流

外部报告的产品漏洞由迈克菲产品安全组负责处理。有关其他问题,请联系下列小组之一:

外部报告的 IT 应用程序和 Web 应用程序漏洞由迈克菲全球安全服务 (GSS) 的安全运营中心 (SOC) 负责处理。

IT 应用程序或 Web 漏洞
迈克菲安全运营中心 (SOC)
电子邮件:abuse.report@mcafee.com
电话:+1 972-987-2745

有关当前配送产品的性能的外部查询由迈克菲技术支持部门负责处理。

产品或软件性能,或者订购问题
迈克菲技术支持
Web:http://www.mcafee.com/cn/support.aspx

病毒和恶意软件样本由 McAfee Labs 负责处理。

提交病毒样本
McAfee Labs
电子邮件:virus_research@mcafee.com
Web:http://www.mcafee.com/cn/threat-center/resources/how-to-submit-sample.aspx

联系 Intel Security/McAfee PSIRT
电子邮件:secure@intel.com
电话:+1 408-753-5752

联系 Intel PSIRT
Intel Product Security Center
电子邮件:secure@intel.com
网站:https://security-center.intel.com

PSIRT 策略声明

可行
如未开发出可行解决办法、补丁、修补程序或版本更新,Intel Security 将不会公开发布产品或软件漏洞;否则,结果只是通知黑客社区我们的产品是攻击目标,导致我们的客户面临更大风险。

公平公正
Intel Security 同时面向所有客户披露产品漏洞。大客户通常不会提前获得通知。提前通知可能会由 PSG 逐一发出,但需严格遵循保密协议。

发现人
Intel Security 仅在下列情况下信任外部漏洞发现人:

  • 发现人愿意被标识为发现人。
  • 发现人不会对我们发动“零日”攻击,也不会在 SB 或 KB 发布之前公开其研究成果。

组织和/或个人均可标识为发现人。

CVSS 评分
将会采用最新 Common Vulnerability Scoring System (CVSS) 版本。目前采用 CVSS v3

所有安全公告必须包括每个漏洞的评分以及相关 CVSS 向量。既要包含基本评分,又要包含临时评分。基本评分应与 NIST 为 CVE 打出的分数相符。 

支持通知服务 (SNS) 邮件
所有安全公告必需提供支持通知服务 (SNS) 邮件、声明或警报。这是 Intel Security 企业支持客户和其他客户所依赖的一项服务。

若要订购 SNS 文本警报,请依次转到 SNS 请求中心和“新建帐户”。

响应策略
Intel Security 的修复和警报响应均取决于最高的 CVSS 基本评分。

优先级(安全性)CVSS v2 评分典型修复响应SNS
P1 - 严重 8.5-10.0 高 Hotfix 警报
P2 - 高 7.0-8.4 高 补丁 通知
P3 - 中 4.0-6.9 中 补丁 通知
P4 - 低 0.0-3.9 低 版本更新 可选
P5 - 信息 0.0 将不修复。信息。 不适用


外部通信机制
Intel Security 的外部沟通机制取决于 CVSS 基本评分、客户咨询数量和媒体关注程度。

  • SB = 安全公告 (4-10)
  • KB = 知识库文章 (2-4)
  • SS = 维持声明 (0-4)
  • NN = 不需要 (0)
 CVSS = 0
0 < CVSS < 4
4 ≤ CVSS < 7
7 ≤ CVSS ≤ 10
外部披露 (CVE) 如果多项查询,请选择 KB;否则,选择 NN KB SB、SNS SB、SNS
客户披露 SS SS SB、SNS SB、SNS
内部披露 NN NN 发布说明文档 SB
(发行后)


危机场景
对于众所周知、影响多种产品的高危漏洞,可能会先发布安全公告及一个产品的补丁,然后再在其他产品的其他补丁和描述可用时进行更新。

涵盖多款易受攻击的产品的安全公告将会按以下类别列出所有产品、企业和个人用户:

  • 易受攻击且已更新
  • 易受攻击但未更新
  • 易受攻击但风险低(指定标准部署最佳实践)
  • 不易受攻击
  • 正在接受调查(可选)

除非面临危机场景,否则通常不在周五下午发布安全公告。

漏洞对比风险分数
Intel Security 参与了行业标准 CVSS 漏洞评分系统。应将 CVSS 分数视为确定特定漏洞可对 Intel Security 的客户造成多大风险的基准。CVSS 分数不应与漏洞严重程度的风险评级混淆,后者可能出现在 Intel Security/McAfee 产品或 Intel Security 产品在其上执行的相关运行时环境。

从 CVSS 分数开始,Intel Security 使用“刚好足够的风险评级”(JGERR) 来评价可能影响 Intel Security 产品的任何潜在问题的风险。JGERR 成为 2012 年系统网络安全协会智能指导。JGERR 基于“信息风险的因子分析”(FAIR),后者是 Open Group 标准。使用 JGERR 评估风险等级时,在风险分析中将以下各方面都纳入了考虑因素:威胁代理的存在和活动、攻击向量、对于威胁代理的漏洞暴露、利用漏洞的便利性或困难度以及来自利用的诸多影响。隔离中的漏洞仅仅是 Intel Security 风险评级的一个方面。

CVSS 基本分数确定我们对于指定事件的初始响应。Intel Security 风险评级确定我们交付修补程序或更新的速度。

安全公告可能包含具有以下名称的产品列表:易受攻击、不易受攻击、易受攻击但是不可利用以及易受攻击但是风险较低。下面的列表说明了这些类别中的每一个在潜在客户影响方面的含义:

  • 易受攻击:产品包含漏洞。漏洞会给客户带来某些级别的风险。可将相关 CVSS 分数用作在典型的部署场景中利用漏洞的影响严重程度的指示。
  • 不易受攻击:产品不存在漏洞,或者无法以任何方式利用存在的易受攻击的组件。使用产品不会给客户带来额外风险。
  • 易受攻击但是不可利用:产品包含漏洞,漏洞形式可为映像中包含的库或可执行文件,但是产品具有充分的安全控制措施,因此漏洞不会暴露给威胁代理,让漏洞的利用难以进行或无法进行。使用产品不会给客户带来额外风险。
  • 易受攻击但是风险较低:产品包含漏洞,漏洞形式可为映像中包含的库或可执行文件,但是利用造成的影响可忽略不计,并且利用不会为攻击者带来额外价值。在建议的和典型的部署场景中使用产品对客户造成的额外风险很小。