Sicherheitsbulletins zu Produkten

 

Weitere Informationen über unsere Produkt-Software-Sicherheitsprozesse

Jetzt herunterladen

Bei McAfee legen wir den Schwerpunkt auf die Absicherung der Computer, Netzwerke, Geräte sowie Daten unserer Kunden. Unser Ziel ist es, Probleme sofort bei ihrem Auftreten zu beheben und über Sicherheitsbulletins sowie Wissensdatenbank-Artikel Empfehlungen auszusprechen.

Virenprobe einsenden Technik-Support kontaktieren PSIRT kontaktieren
McAfee hat Kenntnis von dem DoubleAgent-Angriff, der alle Windows-Programme betrifft.

Die McAfee-Produkte verfügen über Selbstschutzmechanismen zur Abwehr solcher Angriffe. Zudem prüfen wir derzeit, ob zusätzliche Schutzfunktionen erforderlich sind.

Weitere Informationen finden Sie in diesem Blog, im Sicherheitsbulletin SB10192 und im Artikel KB88085.
Sicherheitsbulletins

Wenn Sie Informationen über ein Sicherheitsproblem oder eine Schwachstelle bei einem McAfee- bzw. Intel Security-Produkt haben, senden Sie uns bitte eine E-Mail an secure@intel.com mit Kopie an PSIRT@IntelSecurity.com. Vertrauliche Informationen sollten Sie mit Hilfe des öffentlichen PGP-Schlüssels von Intel verschlüsseln.
Bitte liefern Sie so viele der folgenden Informationen wie möglich:

  • Kontaktdaten der Person, die das Problem entdeckt hat:
    • Name (vollständiger Name oder Kurzname)
    • Postadresse (mit Angabe von Bundesland/Kanton statt der vollständigen Adresse)
    • Partner bzw. Unternehmen
    • E-Mail-Adresse
    • Telefonnummer
  • Produktinformationen:
    • Betroffene Produkte und/oder Hardware-Versionen (Build-Nummer, sofern bekannt)
    • Betriebssystem, sofern bekannt
    • Software- und/oder Hardware-Konfiguration
  • Schwachstelleninformationen:
    • Ausführliche Beschreibung der Schwachstelle
    • Beispiel-Code, mit dem die Schwachstelle verursacht bzw. bestätigt wurde
    • Informationen zu bekannten Exploits
    • CVE-Nummer, sofern die Schwachstelle bereits gemeldet wurde
    • URL-Adresse oder Link zu weiteren Informationen, mit deren Hilfe die Entwickler die Ursache analysieren oder ermitteln können
  • Kommunikationspläne:
    • Veröffentlichungspläne
    • Erlaubnis dafür, im Sicherheitsbulletin als Entdecker der Schwachstelle genannt zu werden

Ein Mitarbeiter der McAfee Product Security Group (PSG, Produktsicherheitsgruppe) und/oder des Product Security Incident Response Team (PSIRT, Reaktionsteam für Produktsicherheitsvorfälle) wird Ihre E-Mail überprüfen und sich bei Ihnen zwecks Zusammenarbeit bei der Lösung des Problems melden.

Behebung

Von Dritten gemeldete Produktschwachstellen werden von der McAfee PSG bearbeitet. Bei anderen Problemen wenden Sie sich bitte an eines der unten genannten Teams:

Von Dritten gemeldete Schwachstellen in IT-Anwendungen sowie in Web-Anwendungen werden vom Sicherheits-Kontrollzentrum (Security Operations Center, SOC) der Global Security Services (GSS) behandelt.

Schwachstelle in IT- oder Web-Anwendungen
McAfee-Sicherheits-Kontrollzentrum (Security Operations Center, SOC)
E-Mail: abuse.report@mcafee.com
Telefon: +1 972-987-2745

Externe Anfragen zur Leistung der aktuell ausgelieferten Produkte werden vom McAfee-Technik-Support behandelt.

Problem mit Produkt- bzw. Software-Leistung oder Abonnement
Technischer Support von McAfee
Internet: http://www.mcafee.com/de/support.aspx

Viren- und Malware-Proben werden von McAfee Labs bearbeitet.

Virenprobe einsenden
McAfee Labs
E-Mail: virus_research@mcafee.com
Internet: http://www.mcafee.com/de/threat-center/resources/how-to-submit-sample.aspx

Kontakt zum Intel Security/McAfee PSIRT (Reaktionsteam für Produktsicherheitsvorfälle)
E-Mail: secure@intel.com
Telefon: +1 408-753-5752

Kontakt zum Intel PSIRT (Reaktionsteam für Produktsicherheitsvorfälle)
Intel Product Security Center
E-Mail: secure@intel.com
Website: https://security-center.intel.com

PSIRT-Richtlinienvorgaben

Umsetzbar
Intel Security veröffentlicht keine Produkt- oder Software-Schwachstellen ohne eine umsetzbare Problembehebung, einen Patch, ein HotFix oder ein Version-Update zu liefern. Andernfalls würden wir nur die Hacker-Community darüber informieren, dass unsere Produkte ein leichtes Ziel sind und damit unsere Kunden einem größeren Risiko aussetzen.

Keine Favoriten
Intel Security informiert alle Kunden gleichzeitig über Produktschwachstellen. Auch große Kunden werden nicht vorab informiert. Die PSG (Product Security Group, Produktsicherheitsgruppe) kann im Einzelfall und nur auf Grundlage einer strikten Vertraulichkeitsvereinbarung eine Vorabinformation gewähren.

Entdecker von Schwachstellen
Intel Security erwähnt die externen Entdecker von Schwachstellen nur unter folgenden Bedingungen:

  • Sie möchten als Entdecker der Schwachstelle genannt werden.
  • Sie haben uns nicht umgangen oder ihre Untersuchungen veröffentlicht, bevor das Sicherheitsbulletin (SB) oder der KnowledgeBase-Artikel (KB) erschienen sind.

Sowohl Organisationen als auch Einzelpersonen können als Entdecker ausgewiesen werden.

CVSS-Bewertung
Es muss die aktuellste Version des Common Vulnerability Scoring System (CVSS) verwendet werden. Derzeit wird CVSS v3 genutzt.

Alle Sicherheitsbulletins müssen CVSS-Werte für jede Schwachstelle sowie die zugehörigen CVSS-Vektoren enthalten. Dabei sind sowohl Basiswerte als auch temporäre Werte erforderlich. Die Basiswerte müssen den Werten entsprechen, die häufigen Schwachstellen und Sicherheitslücken (Common Vulnerabilities and Exposures, CVE) von NIST zugewiesen wurden. 

Nachricht des Support Notification Service (SNS)
Alle Sicherheitsbulletins werden als Nachricht, Hinweis oder Warnung des Support Notification Service (SNS) veröffentlicht. Auf diesen Service verlassen sich nicht nur die Enterprise-Support-Kunden von Intel Security, sondern auch andere Kunden.

Wenn Sie die SNS-Textnachrichten abonnieren möchten, können Sie sich im SNS-Abonnementzentrum als Abonnent registrieren.

Richtlinie für Reaktionszeit
Die Reaktionszeit, in der Intel Security eine Problembehebung und Warnung veröffentlicht, richtet sich nach dem höchsten CVSS-Basiswert.

Priorität (Sicherheit)CVSS v2-WertTypische Reaktion und BehebungsmethodeSNS
P1 – Kritisch 8,5–10,0 Hoch HotFix Warnung
P2 – Hoch 7,0-8,4 Hoch Patch Hinweis
P3 – Mittel 4,0–6,9 Mittel Patch Hinweis
P4 – Niedrig 0,0–3,9 Niedrig Versions-Update Optional
P5 – Info 0,0 Kann nicht behoben werden. Informativ. n/v


Externe Kommunikationsmechanismen
Die externen Kommunikationsmechanismen von Intel Security richten sich nach dem CVSS-Basiswert, der Anzahl an Kundenanfragen sowie dem Grad des Medieninteresses.                                    

  • SB = Sicherheitsbulletin (4-10)
  • KB = KnowledgeBase-Artikel (2-4)
  • SS = Unterstützende Stellungnahme (0-4)
  • NN = Nicht erforderlich (0)
 CVSS = 0
Niedrig
0 < CVSS < 4
Niedrig
4 ≤ CVSS < 7
Mittel
7 ≤ CVSS ≤ 10
Hoch
Externe Kommunikation (CVE) KB bei mehreren Anfragen, sonst NN KB SB, SNS SB, SNS
Kommunikation mit Kunden SS SS SB, SNS SB, SNS
Interne Kommunikation NN NN Dokument in Versionshinweisen SB
(nach Release)


Krisenszenarien
Für öffentlich bekannte Schwachstellen, die einen hohen Schweregrad haben und mehrere Produkte betreffen, wird möglicherweise ein Sicherheitsbulletin mit einem Patch für vorerst ein Produkt veröffentlicht. Sobald die Patches und Beschreibungen für die anderen Produkte zur Verfügung stehen, wird dieses Bulletin aktualisiert.

In Sicherheitsbulletins mit mehreren anfälligen Produkten werden alle Produkte, Unternehmen und Verbraucher in den folgenden Kategorien aufgelistet:

  • Anfällig und aktualisiert
  • Anfällig und noch nicht aktualisiert
  • Anfällig, jedoch mit niedrigem Risiko (bei Nutzung der empfohlenen Standardvorgehensweisen während der Bereitstellung)
  • Nicht anfällig
  • Wird untersucht (optional)

Sofern kein Krisenszenario vorliegt, werden Sicherheitsbulletins nicht Freitagnachmittag veröffentlicht.

Schwachstellen- im Vergleich zu Risikobewertungen
Intel Security nutzt das Schwachstellenbewertungssystem CVSS der Sicherheitsbranche. In diesem System sollen die CVSS-Werte als Ausgangspunkt bei der Ermittlung des Risikos einer bestimmten Schwachstelle für Intel Security-Kunden dienen. Der CVSS-Wert ist jedoch nicht zu verwechseln mit einer Risikobewertung der Schwere von Schwachstellen, die in Produkten von Intel Security/McAfee oder den zugehörigen Laufzeitumgebungen auftreten können, auf denen Intel Security-Produkte ausgeführt werden.

Ausgehend vom CVSS-Wert nutzt Intel Security das JGERR-System (Just Good Enough Risk Rating), um das Risiko aller potenziellen Probleme zu bewerten, die Intel Security-Produkte gefährden könnten. Das JGERR-System wurde 2012 in den SANS Institute Smart Guide aufgenommen. Es basiert auf dem Open Group-Standard FAIR (Factor Analysis of Information Risk). Bei der Risikobewertung mit JGERR werden zusätzliche Faktoren wie Vorkommen und Aktivität von Bedrohungsagenten, Angriffsvektoren, Gefährdung einer Schwachstelle durch Bedrohungsagenten, einfache oder erschwerte Ausnutzung der Schwachstelle sowie alle Auswirkungen der Ausnutzung in die Risikoanalyse einbezogen. Die Schwachstelle an sich ist nur ein Aspekt einer Risikobewertung durch Intel Security.

Der CVSS-Basiswert entscheidet über unsere erste Reaktion auf einen tatsächlichen Zwischenfall. Die Intel Security-Risikobewertung hingegen bestimmt, wie schnell wir ein Patch oder Update bereitstellen.

Sicherheitsbulletins umfassen möglicherweise Produktlisten mit folgenden Angaben: Anfällig, Nicht anfällig, Anfällig, jedoch nicht ausnutzbar sowie Anfällig, jedoch mit niedrigem Risiko. In der folgenden Liste wird die Bedeutung der einzelnen Kategorien für potenzielle Auswirkungen auf den Kunden beschrieben.

  • Anfällig: Ein Produkt weist die Schwachstelle auf, die für den Kunden ein gewisses Risiko bedeutet. Der zugehörige CVSS-Wert kann als Anzeichen dafür dienen, wie schwerwiegend sich die Ausnutzung der Schwachstelle in typischen Bereitstellungsszenarien auswirkt.
  • Nicht anfällig: Ein Produkt weist die Schwachstelle nicht auf, oder eine vorhandene anfällige Komponente kann nicht ausgenutzt werden. Die Verwendung des Produkts bedeutet für Kunden kein zusätzliches Risiko.
  • Anfällig, jedoch nicht ausnutzbar: Ein Produkt weist zwar die Schwachstelle auf, z. B in Form einer integrierten Bibliothek oder einer ausführbaren Datei in dem Abbild, das Produkt verfügt jedoch über ausreichende Sicherheitskontrollen, sodass die Schwachstelle nicht durch Bedrohungsagenten gefährdet wird und nur sehr schwer oder gar nicht ausgenutzt werden kann. Die Verwendung des Produkts bedeutet für Kunden kein zusätzliches Risiko.
  • Anfällig, jedoch mit niedrigem Risiko: Ein Produkt weist zwar die Schwachstelle auf, z. B. in Form einer integrierten Bibliothek oder einer ausführbaren Datei in dem Software-Abbild, die Auswirkungen einer Ausnutzung sind jedoch geringfügig und bieten keinen zusätzlichen Wert für den Angreifer. Die Verwendung des Produkts bedeutet für Kunden, die das Produkt in empfohlenen und typischen Bereitstellungsszenarien verwenden, wahrscheinlich nur ein geringes zusätzliches Risiko.