Sicherheitsbulletins zu Produkten

Sicherheitsprozesse für Produkte

Weitere Informationen über unsere Produkt-Software-Sicherheitsprozesse

Bei McAfee legen wir den Schwerpunkt auf die Absicherung der Computer, Netzwerke, Geräte sowie Daten unserer Kunden. Unser Ziel ist es, Probleme sofort bei ihrem Auftreten zu beheben und über Sicherheitsbulletins sowie Wissensdatenbank-Artikel Empfehlungen auszusprechen. Für weitere Informationen setzen Sie sich bitte mit dem PSIRT-Team in Verbindung.

Virenprobe einsendenTechnik-Support kontaktieren

03. Januar 2018: Meltdown und Spectre
Am 03. Januar 2018 hat Intel drei Schwachstellen mit dem Namen Meltdown und Spectre aufgedeckt, die Appliance-Produkte von McAfee gefährden. Spectre: CVE-2017-5715 und CVE-2017-5753, Meltdown: CVE-2017-5754.

KnowledgeBase-Artikel:

  • SB10226  Sicherheitsbulletin zu Meltdown/Spectre
  • KB90167 – Meltdown und Spectre – Update zu McAfee-Produktkompatibilität (Unternehmensprodukte)
  • TS102769 – Microsoft-Sicherheits-Update Januar 2018 (Meltdown und Spectre) und McAfee-Produkte für Privatanwender


Beiträge im McAfee-Blog:

Sicherheitsbulletins

Wenn Sie Informationen über ein Sicherheitsproblem oder eine Schwachstelle bei einem McAfee-Produkt haben, senden Sie uns bitte eine E-Mail an PSIRT@McAfee.com. Vertrauliche Informationen sollten Sie mit Hilfe des öffentlichen PGP-Schlüssels von McAfee verschlüsseln.
Bitte liefern Sie so viele der folgenden Informationen wie möglich:

  • Kontaktdaten der Person, die das Problem entdeckt hat:
    • Name (vollständiger Name oder Kurzname)
    • Postadresse (mindestens mit Angabe von Bundesland/Kanton)
    • Partner bzw. Unternehmen
    • E-Mail-Adresse
    • Telefonnummer
  • Produktinformationen:
    • Betroffene Produkte und/oder Hardware-Versionen (Build-Nummer, sofern bekannt)
    • Betriebssystem, sofern bekannt
    • Software- und/oder Hardware-Konfiguration
  • Schwachstelleninformationen:
    • Ausführliche Beschreibung der Schwachstelle
    • Beispiel-Code, mit dem die Schwachstelle verursacht bzw. bestätigt wurde
    • Informationen zu bekannten Exploits
    • CVE-Nummer, sofern die Schwachstelle bereits gemeldet wurde
    • URL-Adresse oder Link zu weiteren Informationen, mit deren Hilfe die Entwickler die Ursache analysieren oder ermitteln können
  • Kommunikationspläne:
    • Veröffentlichungspläne (Daten und Ort)
    • Erlaubnis dafür, im Sicherheitsbulletin als Entdecker der Schwachstelle genannt zu werden

Ein Mitarbeiter der McAfee Product Security Group (PSG, Produktsicherheitsgruppe) und/oder des Product Security Incident Response Team (PSIRT, Reaktionsteam für Produktsicherheitsvorfälle) wird Ihre E-Mail überprüfen und sich bei Ihnen zwecks Zusammenarbeit bei der Lösung des Problems melden.

Behebung

Alle Produktschwachstellen werden von der McAfee PSG bearbeitet. Bei anderen Problemen wenden Sie sich bitte an eines der unten genannten Teams:

Schwachstellen in IT-Anwendungen sowie in Web-Anwendungen werden vom Sicherheitskontrollzentrum (Security Operations Center, SOC) der Global Security Services (GSS) behandelt.

Schwachstelle in IT- oder Web-Anwendungen
McAfee-Sicherheitskontrollzentrum (SOC)
E-Mail: abuse.report@mcafee.com
Telefon: +1 972-987-2745

Externe Anfragen zur Leistung der aktuell ausgelieferten Produkte werden vom McAfee-Technik-Support behandelt.

Problem mit Produkt- bzw. Software-Leistung oder Abonnement
Technischer Support von McAfee
Internet: http://www.mcafee.com/us/support.aspx

Viren- und Malware-Proben werden von McAfee Labs bearbeitet.

Virenprobe einsenden
McAfee Labs
E-Mail: virus_research@mcafee.com
Internet: http://www.mcafee.com/enterprise/en-us/threat-center/how-to-submit-sample.html

Kontakt zum McAfee PSIRT
E-Mail: PSIRT@McAfee.com
Telefon: +1 408-753-5752

PSIRT-Richtlinienvorgaben

Umsetzbar
McAfee veröffentlicht keine Produkt- oder Software-Schwachstellen ohne eine umsetzbare Problembehebung, einen Patch, ein Hotfix oder ein Version-Update zu liefern. Andernfalls würden wir nur die Hacker-Community darüber informieren, dass unsere Produkte ein leichtes Ziel sind und damit unsere Kunden einem größeren Risiko aussetzen. Bei Schwachstellen mit großem Medieninteresse (z. B. HeartBleed) veröffentlichen wir ein Banner, um Ihnen mitzuteilen, dass wir uns der Schwachstelle bewusst sind und welche Maßnahmen wir ergreifen.

Keine Favoriten
McAfee informiert alle Kunden gleichzeitig über Produktschwachstellen. Auch große Kunden werden nicht vorab informiert. Die PSG (Product Security Group, Produktsicherheitsgruppe) kann im Einzelfall und nur auf Grundlage einer strikten Vertraulichkeitsvereinbarung eine Vorabinformation gewähren.

Entdecker von Schwachstellen
McAfee erwähnt die externen Entdecker von Schwachstellen nur unter folgenden Bedingungen:

  • Sie möchten als Entdecker der Schwachstelle genannt werden.
  • Sie haben uns nicht umgangen oder ihre Untersuchungen veröffentlicht, bevor das Sicherheitsbulletin (SB) oder der KnowledgeBase-Artikel (KB) erschienen sind.

Sowohl Organisationen als auch Einzelpersonen können als Entdecker ausgewiesen werden.

CVSS-Bewertung
Es muss die aktuellste Version des Common Vulnerability Scoring System (CVSS) verwendet werden. Derzeit wird CVSS v3 genutzt.

Alle Sicherheitsbulletins müssen CVSS-Werte für jede Schwachstelle sowie die zugehörigen CVSS-Vektoren enthalten. Dabei ist der Basiswert erforderlich. Die temporären Werte sowie die Umgebungswerte sind optional. Die Basiswerte müssen im Idealfall den Werten entsprechen, die häufigen Schwachstellen und Sicherheitslücken (Common Vulnerabilities and Exposures, CVE) von NIST zugewiesen wurden.

Nachricht des Support Notification Service (SNS)
Alle Sicherheitsbulletins werden als Nachricht, Hinweis oder Warnung des Support Notification Service (SNS) veröffentlicht. Auf diesen Service verlassen sich nicht nur die Enterprise-Support-Kunden von McAfee, sondern auch andere Kunden.

Wenn Sie die SNS-Textnachrichten abonnieren möchten, können Sie sich im SNS-Abonnementzentrum als Abonnent registrieren.

Richtlinie für Reaktionszeit
Die Reaktionszeit, in der McAfee eine Problembehebung und Warnung veröffentlicht, richtet sich nach dem höchsten CVSS-Basiswert.

Priorität (Sicherheit)CVSS v2-Wert Typische Reaktion und Behebungsmethode* SNS
P1 – Kritisch 8,5–10,0 Hoch Hotfix Warnung
P2 – Hoch 7,0-8,4 Hoch Patch Hinweis
P3 – Mittel 4,0–6,9 Mittel Patch Hinweis
P4 – Niedrig 0,0–3,9 Niedrig Versions-Update Optional
P5 – Info 0,0 Kann nicht behoben werden. Informativ. n/v

*Hinweis: Die Reaktionszeit, in der McAfee eine Problembehebung veröffentlicht, richtet sich nach dem Schweregrad der Schwachstelle, dem Produktlebenszyklus sowie der Umsetzbarkeit einer Behebungsmaßnahme. Die oben beschriebene typische Reaktion und Behebungsmethode stellt keine Verpflichtung dar, ein Hotfix, Patch oder Versions-Update für alle unterstützten Produktversionen zu entwickeln.


Externe Kommunikationsmechanismen
Die externen Kommunikationsmechanismen von McAfee richten sich nach dem CVSS-Basiswert, der Anzahl an Kundenanfragen sowie dem Grad des Medieninteresses.                                    

  • SB = Sicherheitsbulletin (4-10)
  • KB = KnowledgeBase-Artikel (2-4)
  • SS = Unterstützende Stellungnahme (0-4)
  • NN = Nicht erforderlich (0)
 CVSS = 0
Niedrig
0 < CVSS < 4
Niedrig
4 ≤ CVSS < 7
Mittel
7 ≤ CVSS ≤ 10
Hoch
Externe Kommunikation (CVE) KB bei mehreren Anfragen, sonst NN KB SB, SNS SB, SNS
Kommunikation mit Kunden SS SS SB, SNS SB, SNS
Interne Kommunikation NN Dokument in Versionsinformationen SB (nach Release), Dokument in Versionsinformationen SB
(nach Release), Dokument in Versionsinformationen


Krisenszenarien
Für öffentlich bekannte Schwachstellen, die einen hohen Schweregrad haben und mehrere Produkte betreffen, wird möglicherweise ein Sicherheitsbulletin mit einem Patch für vorerst ein Produkt veröffentlicht. Sobald die Patches und Beschreibungen für die anderen Produkte zur Verfügung stehen, wird dieses Bulletin aktualisiert.

In Sicherheitsbulletins mit mehreren anfälligen Produkten werden alle Produkte, Unternehmen und Verbraucher in den folgenden Kategorien aufgelistet:

  • Anfällig und aktualisiert
  • Anfällig und noch nicht aktualisiert
  • Anfällig, jedoch mit niedrigem Risiko (bei Nutzung der empfohlenen Standardvorgehensweisen während der Bereitstellung)
  • Nicht anfällig
  • Wird untersucht (optional)

Sofern kein Krisenszenario vorliegt, werden Sicherheitsbulletins nicht Freitagnachmittag veröffentlicht.

Schwachstellen- im Vergleich zu Risikobewertungen
McAfee nutzt das Schwachstellenbewertungssystem CVSS der Sicherheitsbranche. In diesem System sollen die CVSS-Werte als Ausgangspunkt bei der Ermittlung des Risikos einer bestimmten Schwachstelle für McAfee-Kunden dienen. Der CVSS-Wert ist jedoch nicht zu verwechseln mit einer Risikobewertung der Schwere von Schwachstellen, die in Produkten von McAfee oder den zugehörigen Laufzeitumgebungen auftreten können, auf denen McAfee-Produkte ausgeführt werden.

Ausgehend vom CVSS-Wert nutzt McAfee das JGERR-System (Just Good Enough Risk Rating), um das Risiko aller potenziellen Probleme zu bewerten, die McAfee-Produkte gefährden könnten. Das JGERR-System wurde 2012 in den SANS Institute Smart Guide aufgenommen. Es basiert auf dem Open Group-Standard FAIR (Factor Analysis of Information Risk). Bei der Risikobewertung mit JGERR werden zusätzliche Faktoren wie Vorkommen und Aktivität von Bedrohungsagenten, Angriffsvektoren, Gefährdung einer Schwachstelle durch Bedrohungsagenten, einfache oder erschwerte Ausnutzung der Schwachstelle sowie alle Auswirkungen der Ausnutzung in die Risikoanalyse einbezogen. Die Schwachstelle an sich ist nur ein Aspekt einer Risikobewertung durch McAfee.

Der CVSS-Basiswert entscheidet über unsere erste Reaktion auf einen tatsächlichen Zwischenfall. Die McAfee-Risikobewertung hingegen bestimmt, wie schnell wir ein Patch oder Update bereitstellen.

Sicherheitsbulletins umfassen möglicherweise Produktlisten mit folgenden Angaben: Anfällig, Nicht anfällig, Anfällig, jedoch nicht ausnutzbar sowie Anfällig, jedoch mit niedrigem Risiko. In der folgenden Liste wird die Bedeutung der einzelnen Kategorien für potenzielle Auswirkungen auf den Kunden beschrieben.

  • Anfällig: Ein Produkt weist eine bestätigte Schwachstelle auf, die für den Kunden ein gewisses Risiko bedeutet. Der zugehörige CVSS-Wert kann als Anzeichen dafür dienen, wie schwerwiegend sich die Ausnutzung der Schwachstelle in typischen Bereitstellungsszenarien auswirkt.
  • Nicht anfällig: Ein Produkt weist die Schwachstelle nicht auf, oder eine vorhandene anfällige Komponente kann nicht ausgenutzt werden. Die Verwendung des Produkts bedeutet für Kunden kein zusätzliches Risiko.
  • Anfällig, jedoch nicht ausnutzbar: Ein Produkt weist zwar die Schwachstelle auf, z. B in Form einer integrierten Bibliothek oder einer ausführbaren Datei in dem Abbild, das Produkt verfügt jedoch über ausreichende Sicherheitskontrollen, sodass die Schwachstelle nicht durch Bedrohungsagenten gefährdet wird und nur sehr schwer oder gar nicht ausgenutzt werden kann. Die Verwendung des Produkts bedeutet für Kunden kein zusätzliches Risiko.
  • Anfällig, jedoch mit niedrigem Risiko: Ein Produkt weist zwar die Schwachstelle auf, z. B. in Form einer integrierten Bibliothek oder einer ausführbaren Datei in dem Software-Abbild, die Auswirkungen einer Ausnutzung sind jedoch geringfügig und bieten keinen zusätzlichen Wert für den Angreifer. Die Verwendung des Produkts bedeutet für Kunden, die das Produkt in empfohlenen und typischen Bereitstellungsszenarien verwenden, wahrscheinlich nur ein geringes zusätzliches Risiko.