Бюллетени по безопасности продуктов

report

Деятельность по обеспечению безопасности продуктов

Описание методов обеспечения безопасности наших программных продуктов

Главным приоритетом McAfee является обеспечение безопасности компьютеров, сетей, устройств и данных наших клиентов. Мы поставили себе целью быстро разрешать проблемы сразу после их возникновения и предоставлять клиентам рекомендации в виде бюллетеней по безопасности и статей в базе знаний. За дополнительной информацией просим обращаться в группу PSIRT. Чтобы узнать, как сообщить в McAfee об уязвимости или проблеме безопасности, ознакомьтесь с инструкциями во вкладке «Сообщить об уязвимости».

Отправка примеров вирусовОбратитесь в службу технической поддержки

21 мая 2018 г.: Spectre NG

Набор из двух уязвимостей побочного канала, обнаруженных компанией Intel 21 мая 2018 г. под наименованием Spectre NG, воздействует на аппаратные продукты McAfee.

  • CVE-2018-3639 — уязвимость Speculative Store Bypass (SSB) — также известная как Variant 4
  • CVE-2018-3640 — уязвимость Rogue System Register Read (RSRE) — также известная как Variant 3a

Статьи в Базе знаний:

  • KB90619 — Реакция McAfee на отчеты по уязвимости Spectre-NG

 

Показать все архивы баннеров
Бюллетени по безопасности
Бюллетени по безопасности. Частные пользователи
TS102872 Обновление приложения True Key для Windows устраняет уязвимости ненадежного разрешения на доступ к каталогу (CVE-2018-6755), злоупотребления аутентификацией (CVE-2018-6756) и повышения привилегий (CVE-2018-6757) 6 декабря 2018 г.
TS102785 Обновление приложения Security Innovation App устраняет потенциальный риск удаленного использования уязвимости в необновленной версии Dropbox SDK (CVE-2014-8889) 29 октября 2018 г.
TS102830 Ограничение, ссвязанное с блокированием экрана в McAfee Mobile Security 4.x на устройствах Android 8 октября 2018 г.
TS102829 Функция блокирования McAfee Mobile Security Lock не скрывает область уведомлений Android 8 октября 2018 г.
TS102817 McAfee Mobile Security не отображает экран PIN-кода для заблокированных приложений, работающих в фоновом режиме и открытых в режиме разделения экрана 8 октября 2018 г.
TS102846 Уязвимости в виде загрузки вредоносных библиотек DLL в приложении True Key на платформе Windows (CVE-2018-6700) 10 сентября 2018 г.
TS102825

Выпущено обновление для True Key на базе Android, устраняющее потенциальный риск спуфинга в адресной строке (CVE-2018-6682)

8 августа 2018 г.
TS102801 Выпущено обновление для True Key, устраняющее уязвимость в виде загрузки вредоносных библиотек DLL (CVE-2018-6661) 30 марта 2017 г.
TS102769 Обновление Microsoft Security Update, январь 2018 г. (Meltdown и Spectre) и продукты McAfee для частных пользователей (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) 3 января 2018 г.
TS102723 Обновления McAfee LiveSafe и McAfee Security Scan Plus устраняют уязвимости к атакам типа «незаконный посредник» (CVE-2017-3897 и CVE-2017-3898) 31 августа 2017 г.
TS102714 Обновление McAfee Security Scan Plus устраняет потенциальную уязвимость к атакам типа «незаконный посредник» (CVE-2017-3897) 28 июля 2017 г.
TS102651 Обновление устраняет потенциальную уязвимость в McAfee AntiVirus Plus, McAfee Internet Security и McAfee Total Protection (CVE-2017-4028) 29 марта 2017 г.
TS102614 Устранена потенциальная уязвимость в McAfee Security Scan Plus (CVE-2016-8026) 21 декабря 2016 г.
TS102593 Обновление Security Scan Plus устранило проблему незащищенной загрузки из файла McUICnt.exe (CVE-2016-8008) 14 ноября 2016 г.
TS102570 Исправлена ошибка файла «McOemCpy.exe», что позволяет не допустить загрузки файла DLL, подлинность которого не проверена 7 октября 2016 г.
TS102516 Обновление McAfee Total Protection Suite устранило проблему переполнения буфера и утечку памяти в McAfee File Lock (CVE-2015-8772) 28 апреля 2016 г.
TS102462 Исправлена ошибка файла «McOemCpy.exe», что позволяет не допускать загрузки файла DLL, подлинность которого не проверена 3 декабря 2015 г.
TS102504 Как уведомить McAfee о потенциальных уязвимостях в продуктах для частных пользователей Порядок действий

Если у Вас есть информация о проблеме безопасности или уязвимости продукта McAfee, просим Вас сообщить нам об этом электронным письмом по адресу PSIRT@McAfee.com. Конфиденциальную информацию можете зашифровать с помощью открытого ключа PGP корпорации McAfee.
Просим Вас предоставить максимально возможный объем информации, включая следующие данные:

  • Контактная информация лица, обнаружившего уязвимость:
    • имя (Ф.И.О. или псевдоним);
    • физический адрес (как минимум с точностью до уровня штата/страны);
    • организация/компания;
    • адрес электронной почты;
    • номер телефона.
  • Информация о продуктах:
    • продукты и/или версии аппаратного обеспечения, имеющие данную уязвимость (номер сборки, если таковой известен);
    • операционная система, если таковая известна;
    • программная и/или аппаратная конфигурация.
  • Информация об уязвимости:
    • подробное описание уязвимости;
    • пример кода, использованного для создания/проверки уязвимости;
    • информация об известных средствах использования данной уязвимости;
    • номер CVE, если данная уязвимость уже была зарегистрирована;
    • URL-адрес или ссылка на дополнительную информацию, которая может пригодиться инженерам при анализе или выявлении основной причины данной уязвимости.
  • Планы обмена информацией:
    • планы по раскрытию информации (даты и место);
    • разрешение на упоминание Вас в качестве лица, обнаружившего данную уязвимость (в бюллетене по безопасности).

Ваше электронное сообщение поступит на рассмотрение к сотруднику группы McAfee Product Security Group (PSG) и/или группы PSIRT (Product Security Incident Response Team). Он свяжется с Вами по поводу решения данной проблемы.

Порядок рассмотрения проблем

Рассмотрением всех уязвимостей продуктов занимается группа McAfee Product Security Group (PSG). По другим вопросам просим связываться со следующими группами:

Рассмотрением уязвимостей ИТ-приложений и веб-приложений занимается Центр управления безопасностью (Security Operations Center — SOC) Глобальной службы безопасности (Global Security Services — GSS) McAfee.

Уязвимость ИТ-приложения или веб-приложения
McAfee Security Operations Center (SOC)
Электронная почта: abuse.report@mcafee.com
Телефон: +1 972-987-2745

Обработкой внешних запросов, касающихся функционирования продуктов текущего ассортимента, занимается Служба технической поддержки McAfee.

Функционирование продуктов или программного обеспечения, проблемы с подпиской
Служба технической поддержки McAfee
Веб-сайт: http://www.mcafee.com/us/support.aspx

Рассмотрением образцов вирусов и вредоносных программ занимается McAfee Labs.

Отправка примеров вирусов
McAfee Labs
Электронная почта: virus_research@mcafee.com
Веб-сайт: http://www.mcafee.com/enterprise/en-us/threat-center/how-to-submit-sample.html

Связаться с McAfee PSIRT
Электронная почта: PSIRT@McAfee.com
Телефон: +1 408-753-5752

Положения политики PSIRT

Практическая информация
Делая публичные заявления об обнаружении уязвимостей в продуктах или в программном обеспечении, McAfee обязательно предоставляет исправления, пакеты исправлений, новые версии или информацию о том, как устранить обнаруженные уязвимости. В противном случае такие заявления означали бы, что мы просто информируем хакеров об уязвимостях в наших продуктах и тем самым подвергаем наших клиентов еще большему риску. Что касается уязвимостей, вызывающих большой интерес СМИ (как, например, HeartBleed), мы будем размещать баннеры с информацией о нашей осведомленности и предпринимаемых действиях.

Одинаковое отношение ко всем
McAfee раскрывает информацию об уязвимостях продуктов сразу всем клиентам. Предварительные уведомления для крупных клиентов, как правило, не предусмотрены. В отдельных случаях сотрудники группы McAfee Product Security Group (PSG) могут предварительно уведомлять клиентов об обнаруженной уязвимости, но для этого необходимо строгое соглашение о неразглашении.

Лица, обнаружившие уязвимость
Лиц, обнаруживших уязвимость, McAfee упоминает только в том случае, если:

  • они не возражают против упоминания их в качестве лиц, обнаруживших уязвимость;
  • они не подвергали нас атакам «нулевого дня» и не предавали гласности результаты своих исследований до публикации SB или KB.

В качестве лиц, обнаруживших уязвимость, могут быть указаны как юридические, так и физические лица.

Оценки CVSS
Необходимо использовать самую последнюю версию общей системы оценки уязвимостей (Common Vulnerability Scoring System — CVSS). В настоящее время используется CVSS версия 3.

Во всех бюллетенях по безопасности должны быть приведены оценки CVSS для каждой уязвимости, а также соответствующие векторы CVSS. Базовая оценка обязательна. Временнáя и экологическая оценки могут быть приведены дополнительно. Базовые оценки должны соответствовать оценкам известных уязвимостей (CVE), данным компанией NIST.

Сообщение службы Support Notification Service (SNS)
Любой бюллетень по безопасности требует рассылки сообщения, уведомления или предупреждения службы SNS. Этой службой пользуются клиенты McAfee с уровнем поддержки Enterprise, а также другие клиенты.

Чтобы подписаться на текстовые уведомления SNS, перейдите в центр запросов SNS и зарегистрируйтесь.

Политика реагирования
Компания McAfee реагирует на уязвимости и оповещает клиентов в зависимости от того, какова самая высокая базовая оценка CVSS.

Приоритет (безопасность)Оценка CVSS версия 2 Стандартная мера реагирования* SNS
P1: критически высокий 8.5–10.0, высокий Критическое исправление (hotfix) Предупреждение
P2: высокий 7.0–8.4, высокий Исправление Уведомление
P3: средний 4.0–6.9, средний Исправление Уведомление
P4: низкий 0.0–3.9, низкий Новая версия Дополнительно
P5: к сведению 0,0 Мер реагирования не требуется. Информационное сообщение.

*Примечание. Мера реагирования зависит от степени серьезности уязвимости, жизненного цикла продукта и возможности устранения уязвимости. Описанная выше стандартная мера реагирования не является обязательством предоставить исправление, пакет исправлений или новую версию для всех поддерживаемых версий продукта.


Механизмы внешней коммуникации
McAfee использует разные механизмы внешней коммуникации, выбор которых зависит от базовой оценки CVSS, количества запросов со стороны клиентов и интереса со стороны СМИ.                                    

  • SB = Бюллетень по безопасности (4–10)
  • KB = Статья в Базе знаний (2–4)
  • SS = Заявление в защиту (0–4)
  • NN = Не требуется (0)
 CVSS = 0
низкий
0 < CVSS < 4
низкий
4 ≤ CVSS < 7
средний
7 ≤ CVSS ≤ 10
высокий
Раскрытие уязвимости (CVE) третьим лицом KB, если много запросов; в противном случае NN KB SB, SNS SB, SNS
Раскрытие уязвимости клиентом SS SS SB, SNS SB, SNS
Раскрытие уязвимости собственными силами NN Документируется в заметках о выпуске SB (после выпуска), документируется в заметках о выпуске SB
(после выпуска), документируется в заметках о выпуске


Кризисные сценарии
В случае обнаружения публично известных серьезных уязвимостей, затрагивающих несколько разных продуктов, возможна публикация бюллетеня по безопасности, содержащего пакет исправлений для одного продукта. В таком случае пакеты исправлений и описания для других продуктов будут добавляться позднее по мере готовности.

В бюллетенях по безопасности, содержащих информацию о нескольких уязвимых продуктах, все продукты (как для корпоративного, так и для потребительского сегментов) будут разделены по следующим категориям:

  • Уязвимость есть, обновление установлено
  • Уязвимость есть, обновление еще не установлено
  • Уязвимость есть, но уровень риска низок (если развертывание проводилось в соответствии со стандартными рекомендациями)
  • Уязвимости нет
  • Ведется расследование (дополнительная категория)

Бюллетени по безопасности обычно не публикуются по пятницам во второй половине дня, за исключением случаев кризисных сценариев.

Оценки уязвимостей и оценки рисков
McAfee участвует в разработке системы оценки уязвимостей CVSS как отраслевого стандарта. При определении того, какую опасность та или иная уязвимость может представлять для клиентов McAfee, в качестве отправной точки следует рассматривать оценки, сделанные по методике CVSS. Оценку по CVSS не следует путать с оценкой риска уязвимостей, потенциально имеющихся в продуктах McAfee или в тех средах, в которых выполняются продукты McAfee.

Оценивая риск любой возможной проблемы, потенциально затрагивающей продукты McAfee, мы начинаем с оценки по методике CVSS, а затем используем модель JGERR (Just Good Enough Risk Rating). В 2012 году модель JGERR была опубликована компанией SANS Institute в серии Smart Guide. В основе JGERR лежит стандарт FAIR (Factor Analysis of Information Risk), разработанный отраслевым консорциумом The Open Group. При проведении оценки рисков по модели JGERR учитываются такие дополнительные факторы, как присутствие и активность агентов угрозы, векторы атак, доступность уязвимости агентам угрозы, простота или сложность использования (эксплуатации) данной уязвимости, а также возможные последствия ее использования. Сама по себя уязвимость представляет собой лишь один из аспектов той оценки риска, которую дает McAfee.

Базовая оценка по CVSS определяет нашу первоначальную реакцию на тот или иной инцидент. Та оценка риска, которую дает McAfee, определяет, насколько быстро мы выпустим исправление или обновление.

В Бюллетенях по безопасности можно встретить списки продуктов со следующими обозначениями: «Есть уязвимость», «Нет уязвимостей», «Есть уязвимость, но использовать ее невозможно» и «Есть уязвимость, но уровень риска низкий». В приведенном ниже списке представлена информация о том, что означает каждая из этих категорий с точки зрения потенциального ущерба для клиентов:

  • «Есть уязвимость». Продукт содержит подтвержденную уязвимость. Данная уязвимость подвергает клиентов определенному уровню риска. Соответствующую оценку по CVSS можно рассматривать как признак серьезности ущерба, возникающего в результате использования (эксплуатации) данной уязвимости в обычных сценариях развертывания.
  • «Нет уязвимостей». Продукт либо не содержит данную уязвимость, либо содержит уязвимый компонент, который невозможно использовать в каких-либо вредоносных целях. Использование данного продукта не подвергает клиентов дополнительному риску.
  • «Есть уязвимость, но использовать ее невозможно». Продукт содержит уязвимость, например, в виде включенной в образ библиотеки или исполняемого файла. При этом, однако, в продукте есть достаточное количество средств защиты, предотвращающих доступ агентов угрозы к данной уязвимости и делающих задачу ее использования крайне сложной или невозможной. Использование данного продукта не подвергает клиентов дополнительному риску.
  • «Есть уязвимость, но уровень риска низкий». Продукт содержит уязвимость, например, в виде библиотеки или исполняемого файла, включенного в образ программного обеспечения. Однако использование данной уязвимости наносит лишь незначительный ущерб и не дает злоумышленникам возможности извлечь из этого какую-либо выгоду. Уровень дополнительного риска, которому подвергаются клиенты, использующие данный продукт в рекомендуемых и обычных сценариях развертывания, вероятнее всего, является небольшим.