Boletins de segurança de produtos

Práticas de segurança de produtos

Saiba mais sobre nossas práticas de segurança de software

A McAfee está profundamente focada em garantir a segurança de computadores, redes, dispositivos e dados de seus clientes. Nós temos o compromisso de lidar rapidamente com problemas no momento em que eles surgirem, e de oferecer recomendações através de boletins de segurança e artigos da base de conhecimentos. Para obter mais informações, fale com a equipe PSIRT. Para saber como relatar um problema ou uma vulnerabilidade de segurança à McAfee, leia as instruções na guia “Relate uma vulnerabilidade de segurança” abaixo.

Envie uma amostra de vírusContate o suporte técnico

21 de maio de 2018: Spectre NG

Conjunto de duas novas vulnerabilidades de canal paralelo revelado pela Intel em 21 de maio de 2018, intitulado Spectre NG, afeta produtos de appliances da McAfee.

  • CVE-2018-3639 – Speculative Store Bypass (SSB) – também conhecida como Variante 4
  • CVE-2018-3640 – Rogue System Register Read (RSRE) – também conhecida como Variante 3a

Artigos da KnowledgeBase:

  • KB90619 – Resposta da McAfee aos relatos sobre o Spectre-NG

 

Ver todos os arquivos de banners
Boletins de segurança
Boletins de Segurança – Consumidores
TS102846 Vulnerabilidades de carregamento lateral de DLL no aplicativo True Key do Windows (CVE-2018-6700) 10-Set-2018
TS102825

Atualização do True Key para Android corrige possível exposição a falsificação da barra de endereços (CVE-2018-6682)

08-Ago-2018
TS102801 Atualização do True Key corrige uma vulnerabilidade de carregamento lateral de DLL (CVE-2018-6661) 30-Mar-2018
TS102769 Atualização de segurança da Microsoft de janeiro de 2018 (Meltdown e Spectre) e produtos da McAfee para o consumidor (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) 03-Jan-2018
TS102723 Atualizações do McAfee Live Safe e do McAfee Security Scan Plus corrigem vulnerabilidades do tipo man-in-the-middle (CVE-2017-3897 e CVE-2017-3898) 31-Ago-2017
TS102714 Atualização do McAfee Security Scan Plus corrige uma possível vulnerabilidade do tipo man-in-the-middle (CVE-2017-3897) 28-Jul-2017
TS102651 Atualização corrige uma possível vulnerabilidade no McAfee AntiVirus Plus, no McAfee Internet Security e no McAfee Total Protection (CVE-2017-4028) 29-Mar-2017
TS102614 Corrigida uma possível vulnerabilidade no McAfee Security Scan Plus (CVE-2016-8026) 21-Dez-2016
TS102593 Atualização do Security Scan Plus corrige carregamento inseguro do McUICnt.exe (CVE-2016-8008) 14-Nov-2016
TS102570 “McOemCpy.exe" corrigido para evitar o carregamento de arquivos DLL não autenticados 07-Out-2016
TS102516 Atualização do McAfee Total Protection Suite corrige estouro de buffer e perda de memória no McAfee File Lock (CVE-2015-8772) 28-Abr-2016
TS102462 Patch de segurança para vários instaladores e desinstaladores da McAfee (CVE-2015-8991, CVE-2015-8992, CVE-2015-8993) 03-Dez-2015
TS102504 Como notificar a McAfee sobre possíveis vulnerabilidades em produtos para consumidores Documento com instruções

Se você tiver informações sobre algum problema de segurança ou vulnerabilidade de produtos da McAfee, envie um e-mail para PSIRT@McAfee.com. Criptografe informações confidenciais usando a chave pública PGP da McAfee.
Forneça o máximo de informações que puder, incluindo:

  • Informações de contato do descobridor:
    • Nome (completo ou apelido)
    • Endereço físico (com precisão mínima em nível de estado)
    • Afiliação / Empresa
    • Endereço de e-mail
    • Número do telefone
  • Informações sobre o produto:
    • Os produtos e/ou versões de hardware afetados (número de compilação, caso conhecido)
    • Sistema operacional, caso conhecido
    • Software e/ou configuração de hardware
  • Informações sobre vulnerabilidade:
    • Descrição detalhada da vulnerabilidade
    • Código de exemplo usado para criar/verificar a vulnerabilidade
    • Informações sobre explorações conhecidas
    • Número de CVE, caso a vulnerabilidade já tenha sido registrada
    • URL ou link para a obtenção de mais informações que possam ajudar a engenharia a analisar ou identificar a causa raiz
  • Planos de comunicação:
    • Planos de divulgação (datas e locais)
    • Permissão para ser reconhecido como descobridor no boletim de segurança

Um membro do McAfee Product Security Group (PSG) e/ou do Product Security Incident Response Team (PSIRT) analisará seu e-mail e entrará em contato com você para ajudar a resolver o problema.

Triagem

Todas as vulnerabilidades de produto são tratadas pelo McAfee Product Security Group. Para outros problemas, consulte uma das equipes abaixo:

Vulnerabilidades de aplicativos Web e aplicativos de TI são tratadas pelo centro SOC dos serviços de segurança globais da McAfee.

Vulnerabilidade da Web ou de aplicativo de TI
Centro SOC da McAfee
E-mail: abuse.report@mcafee.com
Telefone: +1 972-987-2745

Consultas externas sobre o desempenho de produtos ativamente comercializados são tratadas pelo suporte técnico da McAfee.

Problema de desempenho de produto ou software, ou problema de assinatura
Suporte técnico da McAfee
Web: http://www.mcafee.com/us/support.aspx

Amostras de vírus e malware são tratadas pelo McAfee Labs.

Envie uma amostra de vírus
McAfee Labs
E-mail: virus_research@mcafee.com
Web: http://www.mcafee.com/enterprise/en-us/threat-center/how-to-submit-sample.html

Fale com o McAfee PSIRT
E-mail: PSIRT@McAfee.com
Telefone: +1 408-753-5752

Declarações de políticas do PSIRT

Decisivo
A McAfee não anunciará publicamente vulnerabilidades de produtos ou software sem que haja um patch, um hotfix, uma atualização de versão ou uma solução alternativa para o problema; do contrário, nós estaríamos apenas informando à comunidade hacker que nossos produtos são um alvo e colocando nossos clientes em uma posição muito arriscada. No caso de vulnerabilidades que ganhem muito destaque na mídia, como o HeartBleed, nós postaremos um banner declarando que estamos cientes e as ações que estamos tomando.

Sem favoritismo
A McAfee revela as vulnerabilidades de produtos a todos os clientes ao mesmo tempo. Em circunstâncias normais, os clientes grandes não são avisados com antecedência. O PSG pode emitir avisos com antecedência analisando cada caso individualmente, e apenas mediante um contrato rigoroso de confidencialidade.

Descobridores
A McAfee só dá crédito aos descobridores de vulnerabilidades nestas circunstâncias:

  • Quando eles querem ser identificados como descobridores.
  • Quando eles não revelam publicamente a vulnerabilidade no “dia zero”, antes do boletim de segurança ou do artigo do KB ser publicado.

Organizações, indivíduos ou ambos podem ser identificados como descobridores.

Pontuação CVSS
A versão mais recente do sistema comum de pontuação de vulnerabilidades (CVSS, Common Vulnerability Scoring System) deve ser usada. O CVSS v3 está sendo usado no momento.

Todos os boletins de segurança devem incluir as pontuações do CVSS para cada vulnerabilidade, bem como os vetores de CVSS associados. A pontuação básica é necessária. Tanto a pontuação temporal quanto a ambiental são opcionais. Em uma situação ideal, as pontuações básicas devem corresponder às pontuações atribuídas pelo NIST para CVEs.

Mensagem do Support Notification Service (SNS)
Todos os boletins de segurança exigem uma mensagem, um aviso ou um alerta do Support Notification Service (SNS). Esse é um serviço no qual os clientes do McAfee Enterprise Support e outros clientes confiam.

Para inscrever-se e receber alertas de texto do SNS, acesse o SNS Request Center (centro de solicitações do SNS) e faça sua assinatura

Política de resposta
A resposta da McAfee para alertas e correções depende da pontuação básica mais alta de CVSS.

Prioridade (segurança)Pontuação CVSS v2 Resposta típica para correções* SNS
P1 - Crítica 8,5-10 Alta Hotfix Alerta
P2 - Alta 7-8,4 Alta Aplicar patches Aviso
P3 - Média 4-6,9 Média Aplicar patches Aviso
P4 - Baixa 0-3,9 Baixa Atualização de versão Opcional
P5 - Info 0 Não será corrigido. Informativo. ND

*Observação: a resposta de correção é baseada na gravidade da vulnerabilidade, no ciclo de vida de produtos e na viabilidade de uma correção. A resposta típica para correções descrita acima não é um compromisso de produção de hotfix, patch ou atualização de versão para todas as versões suportadas do produto.


Mecanismos externos de comunicação
O mecanismo externo de comunicação da McAfee depende da pontuação básica de CVSS, da quantidade de consultas de clientes e do volume de atenção da mídia.                                    

  • SB = Boletim de segurança (4-10)
  • KB = Artigo da KnowledgeBase (2-4)
  • SS = Declaração de sustentação (0-4)
  • NN = Não é necessário (0)
 CVSS = 0
Baixa
0 < CVSS < 4
Baixa
4 ≤ CVSS < 7
Média
7 ≤ CVSS ≤ 10
Alta
Divulgação externa (CVE) KB em caso de várias consultas, senão NN KB SB, SNS SB, SNS
Divulgação ao cliente SS SS SB, SNS SB, SNS
Divulgação interna NN Documentação nas notas de versão SB (pós-lançamento), Documento nas notas de versão SB
(pós-lançamento), Documento nas notas de versão


Cenários de crise
Para vulnerabilidades de alta gravidade divulgadas ao público afetando vários produtos, um boletim de segurança pode ser publicado com um patch para um produto e ser atualizado mais tarde com outros patches e descrições para os outros produtos, quando eles estiverem disponíveis.

Boletins de segurança com vários produtos vulneráveis apresentarão uma listagem de todos os produtos, sejam eles empresariais ou voltados para o consumidor, nas seguintes categorias:

  • Vulneráveis e atualizados
  • Vulneráveis e ainda não atualizados
  • Vulneráveis mas de baixo risco (considerando-se as práticas recomendadas de distribuição padrão)
  • Não vulneráveis
  • Em investigação (opcional)

Boletins de segurança geralmente não são publicados nas tardes de sexta, exceto em cenários de crise.

Vulnerabilidade x Pontuações de risco
A McAfee participa do sistema de pontuação de vulnerabilidades padrão do setor, o CVSS. As pontuações CVSS devem ser consideradas como um ponto de partida para determinar o risco que uma vulnerabilidade específica pode representar para os clientes da McAfee. A pontuação CVSS não deve ser confundida com uma classificação de risco da gravidade das vulnerabilidades que podem ocorrer nos produtos da McAfee ou nos ambientes de tempo de execução associados que executem os produtos da McAfee.

Para complementar a pontuação CVSS, a McAfee usa o sistema “Just Good Enough Risk Rating” (JGERR) para classificar o risco de qualquer problema em potencial que possa afetar os produtos da McAfee. O SANS Institute Smart Guide aderiu ao JGERR em 2012. O JGERR se baseia no “Factor Analysis of Information Risk” (FAIR), um padrão do Open Group. Na classificação de risco com o JGERR, fatores adicionais como a presença e a atividade de agentes de ameaças, vetores de ataque, exposição de uma vulnerabilidade a agentes de ameaça e impactos de explorações são considerados na análise de risco. A vulnerabilidade isolada é apenas um aspecto da classificação de risco da McAfee.

A pontuação CVSS básica determina nossa resposta inicial a um incidente. A classificação de risco da McAfee determina a rapidez com a qual forneceremos um patch ou uma atualização.

Os boletins de segurança podem conter listas de produtos com as seguintes designações: Vulnerável, Não vulnerável, Vulnerável mas não explorável e Vulnerável mas de baixo risco. A lista abaixo descreve o que cada uma dessas categorias significa em termos de possível impacto para o cliente:

  • Vulnerável: um produto contém uma vulnerabilidade verificada. A vulnerabilidade representa algum nível de risco para o cliente. A pontuação CVSS associada pode ser vista como um indicador da gravidade do impacto da exploração da vulnerabilidade em cenários típicos de distribuição.
  • Não vulnerável: um produto não contém a vulnerabilidade ou a presença de um componente vulnerável não pode ser explorada de nenhuma maneira. O uso do produto não apresenta riscos adicionais para o cliente.
  • Vulnerável mas não explorável: um produto contém a vulnerabilidade, talvez na forma de uma biblioteca ou de um executável incluído na imagem, mas o produto oferece controles de segurança suficientes para que a vulnerabilidade não seja exposta a agentes de ameaças, fazendo com que sua exploração seja muito difícil ou impossível. O uso do produto não apresenta riscos adicionais para o cliente.
  • Vulnerável mas de baixo risco: um produto contém a vulnerabilidade, talvez na forma de uma biblioteca ou de um executável incluído na imagem do software, mas o impacto da exploração é irrelevante e sua exploração não oferece valor adicional ao atacante. O uso do produto provavelmente apresenta um risco adicional pequeno para clientes que o usem em cenários de distribuição típicos e recomendados.
Bollettini di sicurezza
Bollettini di sicurezza – Consumer
TS102846 Vulnerabilità di caricamento laterale della DLL nell'applicazione True Key Windows (CVE-2018-6700) 10 settembre 2018
TS102825

L'aggiornamento di True Key Android corregge una potenziale esposizione allo spoofing nella barra degli indirizzi (CVE-2018-6682)

8 agosto 2018
TS102801 L'aggiornamento di True Key corregge una vulnerabilità di caricamento laterale della DLL (CVE-2018-6661) 30 marzo 2018
TS102769 Aggiornamento della sicurezza Microsoft gennaio 2018 (Meltdown e Spectre) e prodotti consumer McAfee (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) 3 gennaio 2018
TS102723 Gli aggiornamenti di McAfee Live Safe e McAfee Security Scan Plus risolvono le vulnerabilità man-in-the-middle (CVE-2017-3897 e CVE-2017-3898) 31 agosto 2017
TS102714 L'aggiornamento di McAfee Security Scan Plus risolve le vulnerabilità man-in-the-middle (CVE-2017-3897) 28 luglio 2017
TS102651 L'aggiornamento risolve una potenziale vulnerabilità in McAfee AntiVirus Plus, McAfee Internet Security e McAfee Total Protection (CVE-2017-4028) 29 marzo 2017
TS102614 La potenziale vulnerabilità in McAfee Security Scan Plus è risolta (CVE-2016-8026) 21 dicembre 2016
TS102593 L'aggiornamento Security Plus Plus risolve il caricamento non sicuro eseguito da McUICnt.exe (CVE-2017-3897) 14 novembre 2016
TS102570 “McOemCpy.exe" è stato risolto per evitare di caricare file DLL non autenticati 7 ottobre 2016
TS102516 L'aggiornamento di McAfee Total Protection Suite risolve l'overflow del buffer e la perdita di memoria in McAfee File Lock (CVE-2015-8772) 28 aprile 2016
TS102462 Patch di sicurezza per diversi programmi di installazione e disinstallazione di McAfee (CVE-2015-8991, CVE-2015-8992, CVE-2015-8993) 3 dicembre 2015
TS102504 Come comunicare a McAfee le potenziali vulnerabilità nei prodotti consumer Documentazione

Se hai delle informazioni riguardanti una vulnerabilità o un problema di sicurezza relativi a un prodotto McAfee, inviaci un'email all'indirizzo PSIRT@McAfee.com. Crittografa le informazioni sensibili per mezzo della chiave pubblica PGP di McAfee.
Per cortesia fornisci il maggior numero possibile di informazioni, fra le quali:

  • Dati dello scopritore:
    • Nome (il nome per esteso oppure il nickname)
    • Indirizzo fisico (almeno la regione)
    • Affiliazione / Azienda
    • Indirizzo email
    • Numero di telefono
  • Informazioni sul prodotto:
    • I prodotti e/o le versioni dell'hardware interessate (numero della build, se noto)
    • Sistema operativo, se noto
    • Configurazione software e/o hardware
  • Informazioni sulla vulnerabilità:
    • Descrizione dettagliata della vulnerabilità
    • Il codice di esempio che è stato usato per creare o verificare la vulnerabilità
    • Informazioni sugli exploit noti
    • Il numero CVE se la vulnerabilità è già stata registrata
    • Un URL o un collegamento a ulteriori informazioni che possano aiutare i tecnici ad analizzare o identificare la causa alla radice
  • Piani di comunicazione:
    • Piani di divulgazione (date e sedi)
    • Autorizzazione alla citazione come scopritore nel Bollettino di sicurezza

Un membro del McAfee Product Security Group (PSG) e/o del team PSIRT (Product Security Incident Response Team) riceverà la tua email e ti contatterà per collaborare alla risoluzione del problema.

Triage

Tutte le vulnerabilità dei prodotti vengono gestite dal McAfee Product Security Group (PSG). Per altri problemi, contatta uno dei team sotto:

Le vulnerabilità delle applicazioni web e IT sono gestite dal Centro SOC del dipartimento McAfee Global Security Services (GSS).

Vulnerabilità delle applicazioni web o IT
Centro Operazioni di Sicurezza (SOC) McAfee
Email: abuse.report@mcafee.com
Telefono: +1 972-987-2745

Le richieste esterne sulle prestazioni dei prodotti attualmente in vendita sono gestite dall'Assistenza Tecnica McAfee.

Prestazioni di prodotti o software oppure problemi di abbonamento
Assistenza Tecnica McAfee
Web: http://www.mcafee.com/it/support.aspx

Gli esempi di virus e malware sono gestiti da McAfee Labs.

Invia un esempio di virus
McAfee Labs
Email: virus_research@mcafee.com
Web: http://www.mcafee.com/enterprise/en-us/threat-center/how-to-submit-sample.html

Contatta McAfee PSIRT
Email: PSIRT@McAfee.com
Telefono: +1 408-753-5752

Istruzioni delle policy PSIRT

Fruibilità
McAfee non rende pubblica la vulnerabilità di un prodotto o software senza mettere a disposizione una soluzione alternativa, una patch, un hotfix o un aggiornamento della versione. Altrimenti significherebbe semplicemente informare la comunità degli hacker che i nostri prodotti sono un bersaglio, mettendo fortemente a rischio i clienti. Per le vulnerabilità con notevole risonanza nei mezzi di informazione, come HeartBleed, pubblicheremo un banner che dichiara la nostra consapevolezza e le nostre azioni.

Niente favoritismi
Per equità, McAfee comunica le vulnerabilità dei prodotti a tutti i clienti contemporaneamente. Normalmente i grandi clienti non ricevono alcun avviso in anticipo. L'avviso anticipato può essere garantito dal McAfee Product Security Group (PSG) caso per caso e solo in presenza di un rigoroso accordo di non divulgazione (NDA).

Scopritori
McAfee accredita gli scopritori delle vulnerabilità solo se:

  • desiderano essere riconosciuti come scopritori;
  • non hanno lanciato un attacco "zero-day" rendendo pubblica la propria ricerca prima della pubblicazione di un bollettino di sicurezza o di un articolo basato sulla documentazione (KnowledgeBase).

Possono essere riconosciuti come scopritori le organizzazioni, gli individui o entrambi.

Punteggi CVSS
Va utilizzata la versione più aggiornata del Common Vulnerability Scoring System (CVSS). Attualmente è in uso il CVSS v3.

Tutti i bollettini di sicurezza devono presentare i punteggi CVSS di ogni vulnerabilità, oltre agli associati vettori CVSS. Il punteggio base è obbligatorio. I punteggi temporale e ambientale sono facoltativi. Idealmente i punteggi base devono corrispondere a quelli assegnati dal NIST alle CVE (vulnerabilità ed esposizioni comuni).

Support Notification Service (SNS)
Un messaggio, notifica o avviso SNS è obbligatorio per tutti i bollettini di sicurezza. Si tratta di un servizio sul quale possono fare affidamento, fra gli altri, i clienti del Supporto McAfee Enterprise.

Per abbonarti ai messaggi di avviso SNS, visita il SNS Request Center (Centro richiesta SNS).

Policy di risposta
La risposta McAfee, di correzione e avviso, dipende dal punteggio base CVSS più elevato.

Priorità (sicurezza)Punteggio CVSS v2 Tipica risposta correttiva* SNS
P1 - Critico 8,5-10,0 Elevato Hotfix Avviso
P2 - Elevato 7,0-8,4 Elevato Patch Notifica
P3 - Medio 4,0-6,9 Medio Patch Notifica
P4 - Basso 0,0-3,9 Basso Aggiornamento della versione Opzionale
P5 - Info 0,0 Nessuna correzione. Informativa. ND

*Nota: la risposta correttiva si basa sulla gravità della vulnerabilità, sul ciclo di vita del prodotto e sulla fattibilità della correzione. La risposta correttiva tipica di cui sopra non costituisce un impegno alla realizzazione di un hotfix, patch o aggiornamento della versione per tutte le versioni dei prodotti supportate.


Meccanismi di comunicazione esterna
Il meccanismo di comunicazione esterna di McAfee dipende dal punteggio CVSS base, dal numero di richieste dei clienti e dal livello di attenzione dei media.                                    

  • SB = Bollettino di sicurezza (4-10)
  • KB = Articolo della KnowledgeBase (2-4)
  • SS = Istruzione di supporto (0-4)
  • NN = Non necessaria (0)
 CVSS = 0
Basso
0 < CVSS < 4
Basso
4 ≤ CVSS < 7
Medio
7 ≤ CVSS ≤ 10
Alto
Divulgazione esterna (CVE) KB in caso di molte richieste, altrimenti NN KB SB, SNS SB, SNS
Divulgazione alla clientela SS SS SB, SNS SB, SNS
Divulgazione interna NN Documento nelle note di rilascio SB (post-rilascio), documento nelle note di rilascio SB
(post-rilascio), documento nelle note di rilascio


Scenari di crisi
Per le vulnerabilità molto gravi, di dominio pubblico e che interessano più prodotti, viene pubblicato un bollettino di sicurezza che include una patch per un solo prodotto. Il bollettino viene in seguito aggiornato con le patch e le descrizioni per gli altri prodotti, man mano che si rendono disponibili.

In caso di numerosi prodotti vulnerabili i Bollettini di sicurezza li elencano tutti, sia per le imprese che per i consumatori, nelle seguenti categorie:

  • Vulnerabile e aggiornato
  • Vulnerabile e non ancora aggiornato
  • Vulnerabile ma a basso rischio (date le migliori pratiche standard per la distribuzione)
  • Non vulnerabile
  • Indagato (opzionale)

Normalmente i Bollettini di sicurezza non vengono pubblicati di venerdì pomeriggio, salvo situazioni di crisi.

Vulnerabilità e punteggi di rischio
McAfee partecipa al sistema di punteggio delle vulnerabilità CVSS, standard nel settore. I punteggi CVSS devono essere considerati come un punto di partenza per determinare il rischio che una particolare vulnerabilità può porre ai clienti di McAfee. Il punteggio CVSS non va confuso con la valutazione del rischio, che giudica la gravità delle vulnerabilità verificabili nei prodotti McAfee o negli ambienti di runtime in cui vengono eseguiti i prodotti McAfee.

A partire dal punteggio CVSS, McAfee usa il sistema JGERR (Just Good Enough Risk Rating) per valutare il rischio di eventuali problemi potenziali che possono avere un impatto sui prodotti di McAfee. Il JGERR è diventato una SANS Institute Smart Guide nel 2012. Il JGERR si basa sul "Factor Analysis of Information Risk" (Analisi dei fattori di rischio delle informazioni, FAIR), uno standard di Open Group. Quando si valuta il rischio con JGERR, nell’analisi vengono inclusi ulteriori fattori come la presenza e attività degli agenti delle minacce, i vettori di attacco, l’esposizione di una vulnerabilità agli agenti delle minacce, la facilità o difficoltà di sfruttarla e l’eventuale impatto. La vulnerabilità nell’isolamento è solo un aspetto della valutazione dei rischi condotta da McAfee.

Il punteggio base CVSS determina la nostra iniziale risposta a un dato evento. La valutazione dei rischi di McAfee determina la rapidità con cui invieremo una patch o aggiornamento.

I Bollettini di sicurezza possono contenere elenchi di prodotti con le seguenti designazioni: Vulnerabile, Non vulnerabile, Vulnerabile ma non attaccabile e Vulnerabile ma a basso rischio. L’elenco sottostante descrive il significato di ciascuna di queste categorie nei termini del potenziale impatto per il cliente:

  • Vulnerabile: un prodotto contenente una vulnerabilità verificata. La vulnerabilità pone un certo livello di rischio ai clienti. Il punteggio CVSS associato può essere preso come un’indicazione della gravità dell’impatto dovuto allo sfruttamento della vulnerabilità nello scenario di distribuzione tipico.
  • Non vulnerabile: un prodotto non contiene alcuna vulnerabilità oppure la presenza di un componente vulnerabile non può essere sfruttata in alcun modo. L’uso del prodotto non presenta rischi aggiuntivi per i clienti.
  • Vulnerabile ma non attaccabile: un prodotto contiene una vulnerabilità, magari una libreria o un eseguibile inclusi nell’immagine, tuttavia il prodotto offre sufficienti controlli di sicurezza. La vulnerabilità non è quindi esposta agli agenti delle minacce, il che ne rende lo sfruttamento molto difficile, se non impossibile. L’uso del prodotto non presenta rischi aggiuntivi per i clienti.
  • Vulnerabile ma a basso rischio: un prodotto contiene una vulnerabilità, magari una libreria o un eseguibile inclusi nell’immagine, tuttavia l’impatto dello sfruttamento è trascurabile e non fornisce alcun valore aggiunto agli autori degli attacchi. L’uso del prodotto presenta forse un piccolo rischio aggiuntivo per i clienti che lo usano negli scenari di distribuzione tipici.