Boletines de seguridad de productos

report

Procedimientos de seguridad de productos

Más información sobre nuestros procedimientos de seguridad para software

McAfee concentra todos sus esfuerzos en garantizar la seguridad de los ordenadores, redes, dispositivos y datos de nuestros clientes. Nos hemos comprometido a resolver los problemas con rapidez y a ofrecer recomendaciones a través de los boletines de seguridad y los artículos de la base de datos de conocimientos. Si necesita soporte, enviar un virus o solicitar la clasificación de una URL, seleccione el botón pertinente. Si desea acceder a los informes acerca de vulnerabilidades de nuestros productos y sitios web, haga clic en la pestaña "Informar de vulnerabilidades de seguridad" que aparece más abajo.

Enviar muestras de virusContacto con soporte a empresasContacto con soporte a particularesSolicitud de clasificación de URL

21 de mayo de 2018: Spectre NG

El 21 de mayo de 2018 Intel desveló dos nuevas vulnerabilidades del tipo canal lateral llamadas Spectre-NG que afectan a appliances de McAfee.

  • CVE-2018-3639: Speculative Store Bypass (SSB), también llamado Variante 4
  • CVE-2018-3640: Rogue System Register Read (RSRE), también llamado Variante 3a

Artículos de la base de datos de conocimientos:

  • KB90619 Respuesta de McAfee a los informes sobre Spectre-NG

 

Ver todos los archivos de advertencia
Boletines de seguridad
Boletines de seguridad para particulares

McAfee se ha asociado con HackerOne para gestionar los informes de problemas potenciales de seguridad o vulnerabilidades en nuestros productos y sitios web públicos. Nuestro programa conjunto es privado. Debe ser invitado a participar antes de enviar algún informe.

Para el primer informe, debe enviar un correo electrónico a security_report@mcafee.com.

El sistema de HackerOne responderá automáticamente con instrucciones sobre cómo continuar. Los siguientes informes pueden enviarse directamente a través del sistema de HackerOne.

Cualquier información contenida en el primer correo electrónico se agregará automáticamente al sistema de HackerOne.

Cuando ya esté en el sistema, debe facilitar la siguiente información:

  • Información de contacto (toda la interacción se hará a través del sistema).
  • Resumen del problema detectado.
  • Los pasos en detalle para reproducirlo, incluidos código de muestra y capturas de pantalla o vídeos.
  • Vulnerabilidades de productos
    • Producto, versión y sistema operativo.
  • Vulnerabilidades del sitio web
    • Navegador y versión.
  • Planes de divulgación.

Informes de vulnerabilidades de productos o del sitio web

McAfee PSIRT
Correo electrónico: security_report@mcafee.com

Problemas de empresas con el rendimiento de productos o software y con las suscripciones
Soporte para empresas

Problemas de particulares con el rendimiento de productos o software y con las suscripciones
Soporte para particulares

Envío de muestras de virus
Más información

Envío de URL para clasificarlas o cuestionar clasificaciones
Más información

Contacto de McAfee PSIRT
Correo electrónico: security_report@mcafee.com

Declaración de directivas del PSIRT

Viabilidad
McAfee no anunciará públicamente vulnerabilidades de productos o software sin una solución, parche, hotfix o actualización de versión viable. Si no lo hiciera así, estaría informando a la comunidad de hackers de que nuestros productos son un objetivo, lo que pondría en un peligro aún mayor a nuestros clientes. En cuanto a las vulnerabilidades como HeartBleed que reciben gran atención de los medios de comunicación, publicaremos un banner de advertencia con nuestras acciones.

Sin favoritos
McAfee divulga las vulnerabilidades de los productos a todos los clientes al mismo tiempo. A los grandes clientes no se les informa con antelación. El director de operaciones de seguridad tecnológica podría ser informado con antelación caso a caso y solo bajo un estricto acuerdo de no divulgación.

Descubridores
McAfee da crédito a los descubridores externos de vulnerabilidades solo si:

  • Están dispuestos a ser identificados como descubridores.
  • No han lanzado contra nosotros amenazas zero-day ni han hecho pública su investigación antes de que se publiquen los boletines SB o los artículos KB.

Los descubridores pueden ser organizaciones, personas o ambas.

Calificación del CVSS
Debe utilizarse la versión más reciente del Common Vulnerability Scoring System (CVSS). En este momento, se utiliza CVSS v3.

Todos los boletines de seguridad deben incluir las calificaciones del CVSS de cada vulnerabilidad, así como los vectores del CVSS correspondientes. Se requieren las calificaciones básicas. Las calificaciones temporales y del entorno son opcionales. Las calificaciones básicas deben coincidir con las asignadas por el NIST a las CVE.

Mensaje del servicio de notificación SNS
Todos los boletines de seguridad requieren un mensaje, aviso o alerta del Support Notification Service (SNS). Se trata de un servicio en el que confían los clientes de McAfee que han contratado el servicio Entreprise Support y otros clientes.

Para suscribirse a las alertas de mensajes de texto del SNS, vaya al SNS Request Center (Centro de solicitudes del SNS).

Respuestas
Las respuestas de McAfee con correcciones y alertas dependen de la calificación básica más alta del sistema de calificación común de vulnerabilidades CVSS.

Prioridad (seguridad)Calificación del CVSS Correcciones habituales* SNS
P1 (crítica) 8,5-10 (alta) hotfix alerta
P2 (alta) 7-8,4 (alta) actualización aviso
P3 (media) 4-6,9 (media) actualización aviso
P4 (baja) 0-3,9 (baja) actualización de la versión opcional
P5 (informativa) 0 No se solucionará, informativa. ND

* Nota: La respuesta con correcciones depende de la gravedad de la vulnerabilidad, el ciclo de vida de los productos y la viabilidad de la solución. La respuesta con correcciones habitual descrita anteriormente no supone compromiso alguno de producir hotfix, parches o actualizaciones de versión para los productos compatibles.


Mecanismos de comunicación externa
El mecanismo de comunicación externa de McAfee depende de la calificación básica del CVSS, la cantidad de consultas de los clientes y la atención prestada por los medios de comunicación.                                    

  • SB = boletín de seguridad (4-10)
  • KB = artículo de la base de datos de conocimientos (2-4)
  • SS= boletín informativo (0-4)
  • NN = no es necesario (0)
 CVSS = 0
baja
0 < CVSS < 4
baja
4 ≤ CVSS < 7
media
7 ≤ CVSS ≤ 10
alta
Divulgación externa (CVE)* KB si hay varias consultas. En caso contrario, NN. KB SB, SNS SB, SNS
Divulgación a clientes SS SS SB, SNS SB, SNS
Divulgación interna NN documento en las notas de la versión SB (después de la publicación), documento en las notas de la versión SB
(después de la publicación), documento en las notas de la versión

*De forma predeterminada, McAfee no emite CVE para problemas con calificación inferior a 4.



Situaciones de crisis
Para las vulnerabilidades conocidas y muy graves que afecten a varios productos, puede publicarse un boletín de seguridad con un parche para un producto. Después, se actualiza con otros parches y descripciones para los otros productos a medida que estén disponibles.

En los boletines de seguridad con varios productos vulnerables se enumerarán todos los productos, para empresas y consumidores, en las siguientes categorías:

  • Vulnerable y actualizado
  • Vulnerable y no actualizado aún
  • Vulnerable, pero de riesgo bajo (según los procedimientos recomendados de despliegue estándar)
  • No vulnerable
  • En investigación (opcional)

Los boletines de seguridad no suelen publicarse los viernes por la tarde, excepto en situaciones de crisis.

Vulnerabilidad y calificación del riesgo
McAfee participa en el sistema de calificación de vulnerabilidades CVSS estándar del sector. Las calificaciones del CVSS deben ser consideradas como el primer paso para determinar qué vulnerabilidad en particular puede ser un riesgo para los clientes de McAfee. La calificación del CVSS no debe confundirse con la calificación del riesgo referente a la gravedad de las vulnerabilidades que pueden producirse en los productos de McAfee o en los entornos en tiempo de ejecución asociados en los que se ejecutan los productos de McAfee.

La calificación de base de CVSS determina nuestra primera respuesta a un incidente dado.

Los boletines de seguridad pueden contener listas de productos con las siguientes designaciones: vulnerable, no vulnerable, vulnerable pero no explotable, y vulnerable pero de riesgo bajo. En la siguiente lista se indica qué significa cada una estas categorías en cuanto al impacto potencial en los clientes:

  • Vulnerable: el producto contiene una vulnerabilidad verificada y supone algún grado de riesgo para los clientes. La calificación de CVSS asociada puede tomarse como una indicación de la gravedad del impacto que tendría si la vulnerabilidad se explota en escenarios de despliegue típicos.
  • No vulnerable: el producto no contiene ninguna vulnerabilidad o la presencia de un componente vulnerable no puede explotarse de ninguna forma. El uso del producto no representa ningún riesgo para los clientes.
  • Vulnerable pero no explotable: el producto contiene una vulnerabilidad, quizá como biblioteca o ejecutable incluido en la imagen. Sin embargo, cuenta con suficientes controles de seguridad para que no pueda ser aprovechada por agentes de amenaza. Explotar esa vulnerabilidad es muy difícil o imposible. El uso del producto no representa ningún riesgo para los clientes.
  • Vulnerable, pero de riesgo bajo: el producto contiene una vulnerabilidad, quizá como biblioteca o ejecutable incluido en la imagen de software. Sin embargo, si se explota el impacto es insignificante y no da al atacante ningún valor adicional. El probable que el uso del producto represente un pequeño riesgo para los clientes que lo utilicen en despliegues recomendados y habituales.