Бюллетени по безопасности продуктов

report

Деятельность по обеспечению безопасности продуктов

Описание методов обеспечения безопасности наших программных продуктов

Главным приоритетом McAfee является обеспечение безопасности компьютеров, сетей, устройств и данных наших клиентов. Мы стараемся быстро разрешать проблемы сразу после их возникновения, предоставляя клиентам рекомендации с помощью бюллетеней по безопасности и статей в базе знаний. Если вы хотите обратиться в службу поддержки, отправить нам файл с вирусом или воспользоваться услугой категоризации URL-адресов, то нажмите соответствующую кнопку. Для отправки сообщений об уязвимостях в наших продуктах и веб-сайтах нажмите на размещенную ниже вкладку «Сообщить об уязвимости».

Отправка примеров вирусовОбратиться в службу поддержки корпоративных пользователейОбратиться в службу поддержки пользователей в потребительском сегментеЗапрос на классификацию URL-адреса

21 мая 2018 г.: Spectre NG

Набор из двух уязвимостей побочного канала, обнаруженных компанией Intel 21 мая 2018 г. под наименованием Spectre NG, воздействует на аппаратные продукты McAfee.

  • CVE-2018-3639 — уязвимость Speculative Store Bypass (SSB) — также известная как Variant 4
  • CVE-2018-3640 — уязвимость Rogue System Register Read (RSRE) — также известная как Variant 3a

Статьи в Базе знаний:

  • KB90619 — Реакция McAfee на отчеты по уязвимости Spectre-NG

 

Показать все архивы баннеров
Бюллетени по безопасности
Бюллетени по безопасности. Частные пользователи

Для обработки сообщений о потенциальных проблемах безопасности и уязвимостях в продуктах McAfee и общедоступных веб-сайтах мы заключили партнерское соглашение с компанией HackerOne. В сотрудничестве с HackerOne мы запустили нашу собственную программу, с помощью которой вы после предварительной регистрации сможете отправлять сообщения о потенциальных проблемах безопасности и уязвимостях.

Если вы отсылаете такое сообщение впервые, то сначала направьте электронное письмо по адресу security_report@mcafee.com.

Вы получите автоматический ответ системы HackerOne с указанием дальнейших шагов. Последующие сообщения можно отправлять непосредственно через систему HackerOne.

Информация из вашего первого электронного письма будет автоматически внесена в систему HackerOne.

Зарегистрировавшись в системе, укажите следующие данные:

  • контактную информацию (общение с вами будет вестись только через систему);
  • краткое описание того, что вы обнаружили;
  • подробное пошаговое описание того, как воспроизвести данную уязвимость, с примерами кода (если есть) и снимками экрана/видеозаписями;
  • уязвимости в продуктах:
    • название продукта, его версия и операционная система;
  • уязвимости в веб-сайтах:
    • название и версия браузера;
  • планы по раскрытию информации (если есть).

Сообщения об уязвимостях в продуктах или веб-сайтах

Группа McAfee PSIRT
Электронная почта: security_report@mcafee.com

Проблемы с подписками или производительностью продуктов и программного обеспечения в корпоративном сегменте
Служба поддержки корпоративных пользователей

Проблемы с подписками или производительностью продуктов и программного обеспечения для пользователей в потребительском сегменте
Служба поддержки пользователей в потребительском сегменте

Отправить образец вируса
Дополнительная информация

Отправить URL-адрес для классификации или оспорить классификацию
Дополнительная информация

Связаться с группой McAfee PSIRT
Электронная почта: Security_Report@McAfee.com

Положения политики PSIRT

Практическая информация
Делая публичные заявления об обнаружении уязвимостей в продуктах или в программном обеспечении, McAfee обязательно предоставляет исправления, пакеты исправлений, новые версии или информацию о том, как устранить обнаруженные уязвимости. В противном случае такие заявления означали бы, что мы просто информируем хакеров об уязвимостях в наших продуктах и тем самым подвергаем наших клиентов еще большему риску. Что касается уязвимостей, вызывающих большой интерес СМИ (как, например, HeartBleed), мы будем размещать баннеры с информацией о нашей осведомленности и предпринимаемых действиях.

Одинаковое отношение ко всем
McAfee раскрывает информацию об уязвимостях продуктов сразу всем клиентам. Предварительные уведомления для крупных клиентов, как правило, не предусмотрены. В отдельных случаях директор по информационной безопасности (CISO) может предварительно уведомлять клиентов об обнаруженной уязвимости ― только при наличии строгого соглашения о неразглашении информации.

Лица, обнаружившие уязвимость
Лиц, обнаруживших уязвимость, McAfee упоминает только в том случае, если:

  • они не возражают против упоминания их в качестве лиц, обнаруживших уязвимость;
  • они не подвергали нас атакам «нулевого дня» и не предавали гласности результаты своих исследований до публикации SB или KB.

В качестве лиц, обнаруживших уязвимость, могут быть указаны как юридические, так и физические лица.

Оценки CVSS
Необходимо использовать самую последнюю версию общей системы оценки уязвимостей (Common Vulnerability Scoring System — CVSS). В настоящее время используется CVSS версия 3.

Во всех бюллетенях по безопасности должны быть приведены оценки CVSS для каждой уязвимости, а также соответствующие векторы CVSS. Базовая оценка обязательна. Временны́е и контекстные оценки могут быть приведены дополнительно. Базовые оценки должны соответствовать оценкам известных уязвимостей (CVE), данным компанией NIST.

Сообщение службы Support Notification Service (SNS)
Любой бюллетень по безопасности требует рассылки сообщения, уведомления или предупреждения службы SNS. Этой службой пользуются клиенты McAfee с уровнем поддержки Enterprise, а также другие клиенты.

Чтобы подписаться на текстовые уведомления SNS, перейдите в центр запросов SNS и зарегистрируйтесь.

Политика реагирования
Компания McAfee реагирует на уязвимости и оповещает клиентов в зависимости от того, какова самая высокая базовая оценка CVSS.

Приоритет (безопасность)Оценки CVSS Стандартная мера реагирования* SNS
P1: критически высокий 9.0–10.0, критически высокий Критическое исправление (hotfix) Предупреждение
P2: высокий 7.0–8.9, высокий Есть изменения Уведомление
P3: средний 4.0–6.9, средний Есть изменения Уведомление
P4: низкий 0.0–3.9, низкий Новая версия Дополнительно
P5: к сведению 0,0 Мер реагирования не требуется. Информационное сообщение.

*Примечание. Мера реагирования зависит от степени серьезности уязвимости, жизненного цикла продукта и возможности устранения уязвимости. Описанная выше стандартная мера реагирования не является обязательством предоставить исправление, пакет исправлений или новую версию для всех поддерживаемых версий продукта.


Механизмы внешней коммуникации
McAfee использует разные механизмы внешней коммуникации, выбор которых зависит от базовой оценки CVSS, количества запросов со стороны клиентов и интереса со стороны СМИ.                                    

  • SB = Бюллетень по безопасности (4–10)
  • KB = Статья в Базе знаний (2–4)
  • SS = Заявление в защиту (0–4)
  • NN = Не требуется (0)
 CVSS = 0
низкий
0 < CVSS < 4
низкий
4 ≤ CVSS < 7
средний
7 ≤ CVSS ≤ 10
высокий
Раскрытие уязвимости (CVE) сторонними лицами* KB, если много запросов; в противном случае NN KB SB, SNS SB, SNS
Раскрытие уязвимости клиентом SS SS SB, SNS SB, SNS
Раскрытие уязвимости собственными силами NN Документируется в заметках о выпуске SB (после выпуска), документируется в заметках о выпуске SB
(после выпуска), документируется в заметках о выпуске

*Как правило, McAfee не публикует CVE, если у проблемы оценка ниже 4.0.



Кризисные сценарии
В случае обнаружения публично известных серьезных уязвимостей, затрагивающих несколько разных продуктов, возможна публикация бюллетеня по безопасности, содержащего пакет исправлений для одного продукта. В таком случае пакеты исправлений и описания для других продуктов будут добавляться позднее по мере готовности.

В бюллетенях по безопасности, содержащих информацию о нескольких уязвимых продуктах, все продукты (как для корпоративного, так и для потребительского сегментов) будут разделены по следующим категориям:

  • Уязвимость есть, обновление установлено
  • Уязвимость есть, обновление еще не установлено
  • Уязвимость есть, но уровень риска низок (если развертывание проводилось в соответствии со стандартными рекомендациями)
  • Уязвимости нет
  • Ведется расследование (дополнительная категория)

Бюллетени по безопасности обычно не публикуются по пятницам во второй половине дня, за исключением случаев кризисных сценариев.

Оценки уязвимостей и оценки рисков
McAfee участвует в разработке системы оценки уязвимостей CVSS как отраслевого стандарта. При определении того, какую опасность та или иная уязвимость может представлять для клиентов McAfee, в качестве отправной точки следует рассматривать оценки, сделанные по методике CVSS. Оценку по CVSS не следует путать с оценкой риска уязвимостей, потенциально имеющихся в продуктах McAfee или в тех средах, в которых выполняются продукты McAfee.

Базовая оценка по CVSS определяет нашу первоначальную реакцию на тот или иной инцидент.

В Бюллетенях по безопасности можно встретить списки продуктов со следующими обозначениями: «Есть уязвимость», «Нет уязвимостей», «Есть уязвимость, но использовать ее невозможно» и «Есть уязвимость, но уровень риска низкий». В приведенном ниже списке представлена информация о том, что означает каждая из этих категорий с точки зрения потенциального ущерба для клиентов:

  • «Есть уязвимость». Продукт содержит подтвержденную уязвимость. Данная уязвимость подвергает клиентов определенному уровню риска. Соответствующую оценку по CVSS можно рассматривать как признак серьезности ущерба, возникающего в результате использования (эксплуатации) данной уязвимости в обычных сценариях развертывания.
  • «Нет уязвимостей». Продукт либо не содержит данную уязвимость, либо содержит уязвимый компонент, который невозможно использовать в каких-либо вредоносных целях. Использование данного продукта не подвергает клиентов дополнительному риску.
  • «Есть уязвимость, но использовать ее невозможно». Продукт содержит уязвимость, например, в виде включенной в образ библиотеки или исполняемого файла. При этом, однако, в продукте есть достаточное количество средств защиты, предотвращающих доступ агентов угрозы к данной уязвимости и делающих задачу ее использования крайне сложной или невозможной. Использование данного продукта не подвергает клиентов дополнительному риску.
  • «Есть уязвимость, но уровень риска низкий». Продукт содержит уязвимость, например, в виде библиотеки или исполняемого файла, включенного в образ программного обеспечения. Однако использование данной уязвимости наносит лишь незначительный ущерб и не дает злоумышленникам возможности извлечь из этого какую-либо выгоду. Уровень дополнительного риска, которому подвергаются клиенты, использующие данный продукт в рекомендуемых и обычных сценариях развертывания, вероятнее всего, является небольшим.