Sicherheitsbulletins zu Produkten

report

Sicherheitsprozesse für Produkte

Weitere Informationen über unsere Produkt-Software-Sicherheitsprozesse

Bei McAfee legen wir den Schwerpunkt auf die Absicherung der Computer, Netzwerke, Geräte sowie Daten unserer Kunden. Unser Ziel ist es, Probleme sofort bei ihrem Auftreten zu beheben und über Sicherheitsbulletins sowie Wissensdatenbank-Artikel Empfehlungen auszusprechen. Wenn Sie Support benötigen, eine Virenprobe einsenden möchten oder eine URL-Klassifizierung wünschen, wählen Sie die entsprechende Schaltfläche aus. Um Schwachstellenberichte zu unseren Produkten und Websites zu erhalten, klicken Sie auf die Registerkarte "Sicherheitsschwachstelle melden" unten auf dieser Seite.

Virenprobe einsendenSupport für Unternehmen kontaktierenSupport für Privatkunden kontaktierenURL-Klassifizierung anfordern

21. Mai 2018: Spectre NG

Am 21. Mai 2018 hat Intel zwei neue Side-Channel-Schwachstellen mit dem Namen Spectre NG aufgedeckt, die Appliance-Produkte von McAfee gefährden.

  • CVE-2018-3639 – Speculative Store Bypass (SSB) – auch als Variante 4 bekannt
  • CVE-2018-3640 – Rogue System Register Read (RSRE) – auch als Variante 3a bekannt

KnowledgeBase-Artikel:

  • KB90619 – Reaktion von McAfee auf Berichte zu Spectre-NG

 

Alle archivierten Banner anzeigen
Sicherheitsbulletins
Sicherheitsbulletins – Privatanwender

McAfee arbeitet mit HackerOne zusammen, um Berichte über potenzielle Sicherheits- oder Schwachstellenprobleme in unseren Produkten und öffentlichen Websites zu bearbeiten. Dazu nutzen wir ein privates Programm, zu dem Sie eingeladen werden müssen, bevor Sie Ihren Bericht übermitteln können.

Für Ihren ersten Bericht senden Sie eine E-Mail an security_report@mcafee.com.

Daraufhin erhalten Sie eine automatische Antwort vom HackerOne-System mit Informationen zur weiteren Vorgehensweise. Alle nachfolgenden Berichte können direkt über das HackerOne-System übermittelt werden.

Alle Informationen aus Ihrer ersten E-Mail werden automatisch zum HackerOne-System hinzugefügt.

Im System geben Sie noch die folgenden Informationen ein:

  • Kontaktinformationen (jegliche Interaktion erfolgt über das System)
  • Zusammenfassung Ihrer Erkenntnisse
  • Detaillierte Schritte zur Reproduzierung, einschließlich Beispiel-Code und Screenshots/Videos
  • Produktschwachstellen
    • Produkt, Version und Betriebssystem
  • Website-Schwachstellen
    • Browser und Version
  • Eventuelle Vorgaben zur Offenlegung von Informationen

Berichte zu Produkt- oder Website-Schwachstellen

McAfee PSIRT
E-Mail: security_report@mcafee.com

Probleme mit Leistung der Produkte bzw. Software für Unternehmen oder Abonnement
Support für Unternehmen

Probleme mit Leistung der Produkte bzw. Software für Privatanwender oder Abonnement
Support für Privatkunden

Virenprobe einsenden
Weitere Informationen

URL zur Klassifizierung einreichen oder Klassifizierung beanstanden
Weitere Informationen

Kontakt zum McAfee PSIRT
E-Mail: Security_Report@McAfee.com

PSIRT-Richtlinienvorgaben

Umsetzbar
McAfee veröffentlicht keine Produkt- oder Software-Schwachstellen ohne eine umsetzbare Problembehebung, einen Patch, ein Hotfix oder ein Version-Update zu liefern. Andernfalls würden wir nur die Hacker-Community darüber informieren, dass unsere Produkte ein leichtes Ziel sind und damit unsere Kunden einem größeren Risiko aussetzen. Bei Schwachstellen mit großem Medieninteresse (z. B. HeartBleed) veröffentlichen wir ein Banner, um Ihnen mitzuteilen, dass wir uns der Schwachstelle bewusst sind und welche Maßnahmen wir ergreifen.

Keine Favoriten
McAfee informiert alle Kunden gleichzeitig über Produktschwachstellen. Auch große Kunden werden nicht vorab informiert. Der CISO kann im Einzelfall und nur auf Grundlage einer strikten Vertraulichkeitsvereinbarung eine Vorabinformation gewähren.

Entdecker von Schwachstellen
McAfee erwähnt die externen Entdecker von Schwachstellen nur unter folgenden Bedingungen:

  • Sie möchten als Entdecker der Schwachstelle genannt werden.
  • Sie haben uns nicht umgangen oder ihre Untersuchungen veröffentlicht, bevor das Sicherheitsbulletin (SB) oder der KnowledgeBase-Artikel (KB) erschienen sind.

Sowohl Organisationen als auch Einzelpersonen können als Entdecker ausgewiesen werden.

CVSS-Bewertung
Es muss die aktuellste Version des Common Vulnerability Scoring System (CVSS) verwendet werden. Derzeit wird CVSS v3 genutzt.

Alle Sicherheitsbulletins müssen CVSS-Werte für jede Schwachstelle sowie die zugehörigen CVSS-Vektoren enthalten. Dabei ist der Basiswert erforderlich. Die temporären Werte sowie die Umgebungswerte sind optional. Die Basiswerte müssen im Idealfall den Werten entsprechen, die häufigen Schwachstellen und Sicherheitslücken (Common Vulnerabilities and Exposures, CVE) von NIST zugewiesen wurden.

Nachricht des Support Notification Service (SNS)
Alle Sicherheitsbulletins werden als Nachricht, Hinweis oder Warnung des Support Notification Service (SNS) veröffentlicht. Auf diesen Service verlassen sich nicht nur die Enterprise-Support-Kunden von McAfee, sondern auch andere Kunden.

Wenn Sie die SNS-Textnachrichten abonnieren möchten, können Sie sich im SNS-Abonnementzentrum als Abonnent registrieren.

Richtlinie für Reaktionszeit
Die Reaktionszeit, in der McAfee eine Problembehebung und Warnung veröffentlicht, richtet sich nach dem höchsten CVSS-Basiswert.

Priorität (Sicherheit)CVSS-Bewertung Typische Reaktion und Behebungsmethode* SNS
P1 – Kritisch 9,0–10,0 Hoch Hotfix Warnung
P2 – Hoch 7,0-8,9 Hoch Update Hinweis
P3 – Mittel 4,0–6,9 Mittel Update Hinweis
P4 – Niedrig 0,0–3,9 Niedrig Versions-Update Optional
P5 – Info 0,0 Kann nicht behoben werden. Informativ. n/v

*Hinweis: Die Reaktionszeit, in der McAfee eine Problembehebung veröffentlicht, richtet sich nach dem Schweregrad der Schwachstelle, dem Produktlebenszyklus sowie der Umsetzbarkeit einer Behebungsmaßnahme. Die oben beschriebene typische Reaktion und Behebungsmethode stellt keine Verpflichtung dar, ein Hotfix, Patch oder Versions-Update für alle unterstützten Produktversionen zu entwickeln.


Externe Kommunikationsmechanismen
Die externen Kommunikationsmechanismen von McAfee richten sich nach dem CVSS-Basiswert, der Anzahl an Kundenanfragen sowie dem Grad des Medieninteresses.                                    

  • SB = Sicherheitsbulletin (4-10)
  • KB = KnowledgeBase-Artikel (2-4)
  • SS = Unterstützende Stellungnahme (0-4)
  • NN = Nicht erforderlich (0)
 CVSS = 0
Niedrig
0 < CVSS < 4
Niedrig
4 ≤ CVSS < 7
Mittel
7 ≤ CVSS ≤ 10
Hoch
Externe Kommunikation (CVE)* KB bei mehreren Anfragen, sonst NN KB SB, SNS SB, SNS
Kommunikation mit Kunden SS SS SB, SNS SB, SNS
Interne Kommunikation NN Dokument in Versionsinformationen SB (nach Release), Dokument in Versionsinformationen SB
(nach Release), Dokument in Versionsinformationen

*Standardmäßig gibt McAfee keine CVEs für Probleme mit einem Wert kleiner als 4.0 aus.



Krisenszenarien
Für öffentlich bekannte Schwachstellen, die einen hohen Schweregrad haben und mehrere Produkte betreffen, wird möglicherweise ein Sicherheitsbulletin mit einem Patch für vorerst ein Produkt veröffentlicht. Sobald die Patches und Beschreibungen für die anderen Produkte zur Verfügung stehen, wird dieses Bulletin aktualisiert.

In Sicherheitsbulletins mit mehreren anfälligen Produkten werden alle Produkte, Unternehmen und Verbraucher in den folgenden Kategorien aufgelistet:

  • Anfällig und aktualisiert
  • Anfällig und noch nicht aktualisiert
  • Anfällig, jedoch mit niedrigem Risiko (bei Nutzung der empfohlenen Standardvorgehensweisen während der Bereitstellung)
  • Nicht anfällig
  • Wird untersucht (optional)

Sofern kein Krisenszenario vorliegt, werden Sicherheitsbulletins nicht Freitagnachmittag veröffentlicht.

Schwachstellen- im Vergleich zu Risikobewertungen
McAfee nutzt das Schwachstellenbewertungssystem CVSS der Sicherheitsbranche. In diesem System sollen die CVSS-Werte als Ausgangspunkt bei der Ermittlung des Risikos einer bestimmten Schwachstelle für McAfee-Kunden dienen. Der CVSS-Wert ist jedoch nicht zu verwechseln mit einer Risikobewertung der Schwere von Schwachstellen, die in Produkten von McAfee oder den zugehörigen Laufzeitumgebungen auftreten können, auf denen McAfee-Produkte ausgeführt werden.

Der CVSS-Basiswert entscheidet über unsere erste Reaktion auf einen tatsächlichen Zwischenfall.

Sicherheitsbulletins umfassen möglicherweise Produktlisten mit folgenden Angaben: Anfällig, Nicht anfällig, Anfällig, jedoch nicht ausnutzbar sowie Anfällig, jedoch mit niedrigem Risiko. In der folgenden Liste wird die Bedeutung der einzelnen Kategorien für potenzielle Auswirkungen auf den Kunden beschrieben.

  • Anfällig: Ein Produkt weist eine bestätigte Schwachstelle auf, die für den Kunden ein gewisses Risiko bedeutet. Der zugehörige CVSS-Wert kann als Anzeichen dafür dienen, wie schwerwiegend sich die Ausnutzung der Schwachstelle in typischen Bereitstellungsszenarien auswirkt.
  • Nicht anfällig: Ein Produkt weist die Schwachstelle nicht auf, oder eine vorhandene anfällige Komponente kann nicht ausgenutzt werden. Die Verwendung des Produkts bedeutet für Kunden kein zusätzliches Risiko.
  • Anfällig, jedoch nicht ausnutzbar: Ein Produkt weist zwar die Schwachstelle auf, z. B in Form einer integrierten Bibliothek oder einer ausführbaren Datei in dem Abbild, das Produkt verfügt jedoch über ausreichende Sicherheitskontrollen, sodass die Schwachstelle nicht durch Bedrohungsagenten gefährdet wird und nur sehr schwer oder gar nicht ausgenutzt werden kann. Die Verwendung des Produkts bedeutet für Kunden kein zusätzliches Risiko.
  • Anfällig, jedoch mit niedrigem Risiko: Ein Produkt weist zwar die Schwachstelle auf, z. B. in Form einer integrierten Bibliothek oder einer ausführbaren Datei in dem Software-Abbild, die Auswirkungen einer Ausnutzung sind jedoch geringfügig und bieten keinen zusätzlichen Wert für den Angreifer. Die Verwendung des Produkts bedeutet für Kunden, die das Produkt in empfohlenen und typischen Bereitstellungsszenarien verwenden, wahrscheinlich nur ein geringes zusätzliches Risiko.