Boletines de seguridad de productos

Procedimientos de seguridad de productos

Más información sobre nuestros procedimientos de seguridad para software

McAfee concentra todos sus esfuerzos en garantizar la seguridad de los ordenadores, redes, dispositivos y datos de nuestros clientes. Nos comprometemos a resolver los problemas con rapidez y a ofrecer recomendaciones a través de los boletines de seguridad y los artículos de la base de datos de conocimientos. Si desea obtener más información, póngase en contacto con el equipo PSIRT. Para saber cómo informar a McAfee de problemas de seguridad o vulnerabilidades, consulte las instrucciones de la pestaña "Informar de vulnerabilidades de seguridad".

Enviar muestras de virusPonerse en contacto con soporte técnico

21 de mayo de 2018: Spectre NG

El 21 de mayo de 2018 Intel desveló dos nuevas vulnerabilidades del tipo canal lateral llamadas Spectre-NG que afectan a appliances de McAfee.

  • CVE-2018-3639: Speculative Store Bypass (SSB), también llamado Variante 4
  • CVE-2018-3640: Rogue System Register Read (RSRE), también llamado Variante 3a

Artículos de la base de datos de conocimientos:

  • KB90619 Respuesta de McAfee a los informes sobre Spectre-NG

 

Ver todos los archivos de advertencia
Boletines de seguridad
Boletines de seguridad para particulares
TS102846 Vulnerabilidades de carga en DLL en la aplicación True Key en Windows (CVE-2018-6700) 10-sep-2018
TS102825

Actualización de True Key en Android que corrige el riesgo potencial de falsificación de la barra de dirección (CVE-2018-6682)

8-ago-2018
TS102801 Actualización de True Key que corrige una vulnerabilidad de carga en DLL (CVE-2018-6661) 30‑mar‑2018
TS102769 Actualización de seguridad de Microsoft, enero de 2018 (Meltdown y Spectre), y productos para particulares de McAfee (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754). 3‑1‑2018
TS102723 Las actualizaciones de McAfee Live Safe y McAfee Security Scan Plus corrigen las vulnerabilidades de tipo "man-in-the-middle" (CVE-2017-3897 y CVE-2017-3898). 31‑8‑2017
TS102714 La actualización de McAfee Security Scan Plus corrige una vulnerabilidad potencial de tipo "man-in-the-middle" (CVE-2017-3897). 28-7-2017
TS102651 La actualización corrige una vulnerabilidad potencial de McAfee AntiVirus Plus, McAfee Internet Security y McAfee Total Protection (CVE-2017-4028). 29‑3‑2017
TS102614 Se corrige una vulnerabilidad potencial de McAfee Security Scan Plus (CVE-2016-8026). 21-12-2016
TS102593 Actualización de seguridad de Scan Plus corrige la carga no segura mediante McUICnt.exe (CVE-2016-8008). 14-11-2016
TS102570 “McOemCpy.exe" se corrige para evitar la carga de archivos DLL no autenticados. 07-10-2016
TS102516 La actualización de McAfee Total Protection Suite corrige el desbordamiento del búfer y la pérdida de memoria de McAfee File Lock (CVE-2015-8772). 28‑4-2016
TS102462 Parche de seguridad para varios instaladores y desinstaladores de McAfee (CVE-2015-8991, CVE-2015-8992, CVE-2015-8993). 3-12-2015
TS102504 Cómo informar a McAfee de vulnerabilidades potenciales en productos para consumidores Documento

Si tiene información acerca de un problema o vulnerabilidad de seguridad en un producto de McAfee, por favor envíe un correo electrónico a PSIRT@McAfee.com. Cifre la información confidencial con la clave pública PGP de McAfee.
Incluya tanta información como sea posible, por ejemplo:

  • Información de contacto del descubridor:
    • nombre (completo o alias);
    • dirección postal (indique al menos la provincia);
    • afiliación/empresa;
    • dirección de correo electrónico;
    • número de teléfono.
  • Información del producto:
    • versiones de producto y/o de hardware afectadas (número de compilación, si se conoce);
    • sistema operativo (si se conoce);
    • configuración de software y/o hardware.
  • Información sobre la vulnerabilidad:
    • descripción detallada de la vulnerabilidad;
    • código de muestra utilizado para crear/verificar la vulnerabilidad;
    • información de exploits conocidos;
    • número de CVE si la vulnerabilidad ya se ha registrado;
    • URL o vínculo para acceder a más información que pueda ayudar a los técnicos a analizar o identificar el origen.
  • Planes de comunicación:
    • planes de divulgación (fechas y medios);
    • autorización para ser reconocido en el boletín de seguridad como descubridor.

Un miembro del grupo de seguridad de productos de McAfee (PSG, Product Security Group) y/o del equipo de respuesta ante incidentes de seguridad de productos (PSIRT, Product Security Incident Response Team) revisará su correo electrónico y se pondrá en contacto con usted para ayudarle a resolver el problema.

Clasificación

Todas las vulnerabilidades del producto son manejadas por el McAfee Product Security Group. Para otros problemas, póngase en contacto con los equipos que aparecen más abajo.

Las vulnerabilidades de las aplicaciones de TI y las aplicaciones web son manejadas por el centro de operaciones de seguridad (SOC, Security Operations Center) de McAfee Global Security Services (GSS).

Vulnerabilidades de aplicaciones de TI o de la web
McAfee Security Operations Center (SOC)
Correo electrónico: abuse.report@mcafee.com
Teléfono: +1 972-987-2745

Las consultas externas sobre rendimiento de productos disponibles en la actualidad son manejadas por el soporte técnico de McAfee.

Problemas con el rendimiento de productos y con las suscripciones
Soporte técnico de McAfee
Sitio web: http://www.mcafee.com/es/support.aspx

Las muestras de virus y malware son manejadas por McAfee Labs.

Envío de muestras de virus
McAfee Labs
Correo electrónico: virus_research@mcafee.com
Sitio web: http://www.mcafee.com/es/threat-center/resources/how-to-submit-sample.aspx

Contacto del equipo PSIRT de McAfee
Correo electrónico: PSIRT@McAfee.com
Teléfono: +1 408-753-5752

Declaración de directivas del PSIRT

Viabilidad
McAfee no anunciará públicamente vulnerabilidades de productos o software sin una solución, parche, hotfix o actualización de versión viable. Si no lo hiciera así, estaría informando a la comunidad de hackers de que nuestros productos son un objetivo, lo que pondría en un peligro aún mayor a nuestros clientes. En cuanto a las vulnerabilidades como HeartBleed que reciben gran atención de los medios de comunicación, publicaremos un banner de advertencia con nuestras acciones.

Sin favoritos
McAfee divulga las vulnerabilidades de los productos a todos los clientes al mismo tiempo. A los grandes clientes no se les informa por anticipado. El Product Security Group podría informar por anticipado caso a caso y solo bajo un estricto acuerdo de no divulgación.

Descubridores
McAfee da crédito a los descubridores externos de vulnerabilidades solo si:

  • Están dispuestos a ser identificados como descubridores.
  • No han lanzado contra nosotros amenazas zero-day ni han hecho pública su investigación antes de que se publiquen los boletines SB o los artículos KB.

Los descubridores pueden ser organizaciones, personas o ambas.

Calificación del CVSS
Debe utilizarse la versión más reciente del Common Vulnerability Scoring System (CVSS). En este momento, se utiliza CVSS v3.

Todos los boletines de seguridad deben incluir las calificaciones del CVSS de cada vulnerabilidad, así como los vectores del CVSS correspondientes. Se requieren las calificaciones básicas. Las calificaciones temporales y del entorno son opcionales. Las calificaciones básicas deben coincidir con las asignadas por el NIST a las CVE.

Mensaje del servicio de notificación SNS
Todos los boletines de seguridad requieren un mensaje, aviso o alerta del Support Notification Service (SNS). Se trata de un servicio en el que confían los clientes de McAfee que han contratado el servicio Entreprise Support y otros clientes.

Para suscribirse a las alertas de mensajes de texto del SNS, vaya al SNS Request Center (Centro de solicitudes del SNS).

Respuestas
Las respuestas de McAfee con correcciones y alertas dependen de la calificación básica más alta del sistema de calificación común de vulnerabilidades CVSS.

Prioridad (seguridad)Calificación de CVSS v2 Correcciones habituales* SNS
P1 (crítica) 8,5-10 (alta) hotfix alerta
P2 (alta) 7-8,4 (alta) parche aviso
P3 (media) 4-6,9 (media) parche aviso
P4 (baja) 0-3,9 (baja) actualización de la versión opcional
P5 (informativa) 0 No se solucionará, informativa. ND

* Nota: La respuesta con correcciones depende de la gravedad de la vulnerabilidad, el ciclo de vida de los productos y la viabilidad de la solución. La respuesta con correcciones habitual descrita anteriormente no supone compromiso alguno de producir hotfix, parches o actualizaciones de versión para los productos compatibles.


Mecanismos de comunicación externa
El mecanismo de comunicación externa de McAfee depende de la calificación básica del CVSS, la cantidad de consultas de los clientes y la atención prestada por los medios de comunicación.                                    

  • SB = boletín de seguridad (4-10)
  • KB = artículo de la base de datos de conocimientos (2-4)
  • SS= boletín informativo (0-4)
  • NN = no es necesario (0)
 CVSS = 0
baja
0 < CVSS < 4
baja
4 ≤ CVSS < 7
media
7 ≤ CVSS ≤ 10
alta
Divulgación externa (CVE) KB si hay varias consultas. En caso contrario, NN. KB SB, SNS SB, SNS
Divulgación a clientes SS SS SB, SNS SB, SNS
Divulgación interna NN documento en las notas de la versión SB (después de la publicación), documento en las notas de la versión SB
(después de la publicación), documento en las notas de la versión


Situaciones de crisis
Para las vulnerabilidades conocidas y muy graves que afecten a varios productos, puede publicarse un boletín de seguridad con un parche para un producto. Después, se actualiza con otros parches y descripciones para los otros productos a medida que estén disponibles.

En los boletines de seguridad con varios productos vulnerables se enumerarán todos los productos, para empresas y consumidores, en las siguientes categorías:

  • Vulnerable y actualizado
  • Vulnerable y no actualizado aún
  • Vulnerable, pero de riesgo bajo (según los procedimientos recomendados de despliegue estándar)
  • No vulnerable
  • En investigación (opcional)

Los boletines de seguridad no suelen publicarse los viernes por la tarde, excepto en situaciones de crisis.

Vulnerabilidad y calificación del riesgo
McAfee participa en el sistema de calificación de vulnerabilidades CVSS estándar del sector. Las calificaciones del CVSS deben ser consideradas como el primer paso para determinar qué vulnerabilidad en particular puede ser un riesgo para los clientes de McAfee. La calificación del CVSS no debe confundirse con la calificación del riesgo referente a la gravedad de las vulnerabilidades que pueden producirse en los productos de McAfee o en los entornos en tiempo de ejecución asociados en los que se ejecutan los productos de McAfee.

Comenzando con la calificación del CVSS, McAfee utiliza la calificación de riesgo "Just Good Enough Risk Rating" (JGERR) para valorar el riesgo de cualquier problema que pudiera afectar a sus productos. EN 2012, JGERR se convirtió en la guía Smart Guide de SANS Institute. JGERR está basado en el estándar "Factor Analysis of Information Risk" (FAIR) de The Open Group. Cuando se califican los riesgos con JGERR, se tienen en cuenta factores tales como la presencia y actividad de agentes de amenaza, vectores de ataque, exposición de una vulnerabilidad a los agentes de amenaza, la facilidad o dificultad de explotar la vulnerabilidad y cualquier otro impacto que pueda resultar de explotarla. La vulnerabilidad aislada es solo un aspecto de la calificación de riesgos de Intel Security.

La calificación básica de CVSS determina nuestra respuesta inicial a un incidente dado. La calificación del riesgo de McAfee determina con qué rapidez entregamos el parche o la actualización.

Los boletines de seguridad pueden contener listas de productos con las siguientes designaciones: vulnerable, no vulnerable, vulnerable pero no explotable, y vulnerable pero de riesgo bajo. En la siguiente lista se indica qué significa cada una estas categorías en cuanto al impacto potencial en los clientes:

  • Vulnerable: el producto contiene una vulnerabilidad verificada y supone algún grado de riesgo para los clientes. La calificación de CVSS asociada puede tomarse como una indicación de la gravedad del impacto que tendría si la vulnerabilidad se explota en escenarios de despliegue típicos.
  • No vulnerable: el producto no contiene ninguna vulnerabilidad o la presencia de un componente vulnerable no puede explotarse de ninguna forma. El uso del producto no representa ningún riesgo para los clientes.
  • Vulnerable pero no explotable: el producto contiene una vulnerabilidad, quizá como biblioteca o ejecutable incluido en la imagen. Sin embargo, cuenta con suficientes controles de seguridad para que no pueda ser aprovechada por agentes de amenaza. Explotar esa vulnerabilidad es muy difícil o imposible. El uso del producto no representa ningún riesgo para los clientes.
  • Vulnerable, pero de riesgo bajo: el producto contiene una vulnerabilidad, quizá como biblioteca o ejecutable incluido en la imagen de software. Sin embargo, si se explota el impacto es insignificante y no da al atacante ningún valor adicional. El probable que el uso del producto represente un pequeño riesgo para los clientes que lo utilicen en despliegues recomendados y habituales.