产品安全实践
了解有关我们产品软件安全实践的更多信息
McAfee 主要致力于确保客户的计算机、网络、设备和数据安全。 我们承诺在发生问题时快速解决问题,并通过安全公告和知识库文章提供建议。 有关详细信息,请联系 PSIRT 团队。要了解如何向 McAfee 报告安全问题或漏洞,请查看以下“报告安全漏洞”选项卡中的操作说明。
2018 年 5 月 21 日:Spectre NG
Intel 在 2018 年 5 月 21 日公开了一组影响 McAfee 设备产品的 2 个新边信道漏洞,称为 Spectre NG。
- CVE-2018-3639 – Speculative Store Bypass (SSB),也称为变体 4
- CVE-2018-3640 – Rogue System Register Read (RSRE),也称为变体 3a
知识库文章:
- KB90619 – McAfee 对 Spectre-NG 报告的回应
查看所有横幅存档
| 安全公告 |
|---|
| 安全公告 – 个人用户 |
|---|
如果了解有关 McAfee 产品安全问题或漏洞的信息,请发送电子邮件至 PSIRT@McAfee.com。 使用 McAfee 的 PGP 公钥加密敏感信息。
请提供尽可能多的信息,包括:
- 发现人的联系信息:
- 姓名(全名或昵称)
- 物理地址(精确至国家级)
- 附属机构/公司
- 电子邮件地址
- 手机号码
- 产品信息:
- 受影响的产品和/或硬件版本(内部版本号,如果已知)
- 操作系统,如果已知
- 软件和/或硬件配置
- 漏洞信息:
- 漏洞的详细描述
- 用于创建/验证漏洞的示例代码
- 已知漏洞利用攻击信息
- CVE 数量(如果已对漏洞进行存档)
- 可能帮助执行工程分析或识别根源的详细信息的 URL 或链接
- 通信计划:
- 公布计划(日期和场所)
- 公认为安全公告发现人的权限
McAfee Product Security Group (PSG) 和/或 Product Security Incident Response Team (PSIRT) 成员将审核您的电子邮件,并联系您协同解决相关问题。
分流所有产品漏洞由 McAfee Product Security Group 负责处理。 有关其他问题,请联系下列小组之一:
IT 应用程序和 Web 应用程序漏洞由 McAfee Global Security Services (GSS) 的安全运营中心 (SOC) 负责处理。
IT 应用程序或 Web 漏洞
McAfee 安全运营中心 (SOC)
电子邮件: abuse.report@mcafee.com
电话:+1 972-987-2745
有关当前配送产品的性能的外部查询由 McAfee 技术支持部门负责处理。
产品或软件性能,或者订购问题
McAfee 技术支持
网址:https://www.mcafee.com/enterprise/en-us/support.html
病毒和恶意软件样本由 McAfee Labs 负责处理。
提交病毒示例
McAfee Labs
电子邮件:virus_research@mcafee.com
网址:https://www.mcafee.com/enterprise/en-us/threat-center/how-to-submit-sample.html
联系 McAfee PSIRT
电子邮件:PSIRT@McAfee.com
PSIRT 策略声明
可行性
如果未开发出可行的解决办法、补丁、修补程序或版本更新,McAfee 不会公开发布产品或软件漏洞;否则,只会让黑客社区知道我们的产品是攻击目标,导致我们的客户面临更大的风险。 对于引起大量媒体关注的漏洞(如 HeartBleed),我们将发布横幅,说明我们已经知道且正在采取行动。
公平公正
出于公正起见,McAfee 会同时向所有客户披露产品漏洞。 大客户通常不会提前获得通知。 提前通知可能会由 PSG 逐一发出,但需严格遵循保密协议。
发现人
McAfee 仅在下列情况下信任外部漏洞发现人:
- 发现人愿意被标识为发现人。
- 发现人不会对我们发动“零日”攻击,也不会在 SB 或 KB 发布之前公开其研究成果。
组织和/或个人均可标识为发现人。
CVSS 评分
将会采用最新 Common Vulnerability Scoring System (CVSS) 版本。 目前采用 CVSS v3。
所有安全公告必须包括每个漏洞的评分以及相关 CVSS 向量。 基本分数为必需。 临时分数和环境分数为可选。 基本评分应与 NIST 为 CVE 打出的分数相符。
Support Notification Service (SNS) 邮件
所有安全公告必需提供 Support Notification Service (SNS) 邮件、声明或警报。 这是 McAfee Enterprise Support 客户和其他客户所依赖的一项服务。
要订购 SNS 文本警报,请转到 SNS 请求中心并订阅。
响应策略
McAfee 的修复和警报响应均取决于最高的 CVSS 基本评分。
| 优先级(安全性) | CVSS v2 分数 | 典型修复响应* | SNS |
|---|---|---|---|
| P1 - 严重 | 8.5-10.0 高 | 修补程序 | 警报 |
| P2 - 高 | 7.0-8.4 高 | 补丁 | 通知 |
| P3 - 中 | 4.0-6.9 中 | 补丁 | 通知 |
| P4 - 低 | 0.0-3.9 低 | 版本更新 | 可选 |
| P5 - 信息 | 0.0 | 将不修复。 信息。 | 不适用 |
*注意:修复响应基于漏洞的严重性、产品生命周期以及修复的可行性。 上述典型的修复响应并非承诺为所有支持的产品版本提供修补程序、补丁或版本更新。
外部通信机制
McAfee 的外部通信机制取决于 CVSS 基本分数、客户咨询数量和媒体关注程度。
- SB = 安全公告 (4-10)
- KB = 知识库文章 (2-4)
- SS = 维持声明 (0-4)
- NN = 不需要 (0)
| CVSS = 0 低 | 0 < CVSS < 4 低 | 4 ≤ CVSS < 7 中 | 7 ≤ CVSS ≤ 10 高 |
|
|---|---|---|---|---|
| 外部披露 (CVE) | 如果多项查询,请选择 KB;否则,选择 NN | KB | SB、SNS | SB、SNS |
| 客户披露 | SS | SS | SB、SNS | SB、SNS |
| 内部披露 | NN | 发布说明文档 | SB(发行后),发布说明文档 | SB (发行后),发布说明文档 |
危机场景
对于众所周知、影响多种产品的高危漏洞,可能会先发布安全公告及一个产品的补丁,然后再在其他产品的其他补丁和描述可用时进行更新。
涵盖多款易受攻击的产品的安全公告将会按以下类别列出所有产品、企业和个人用户:
- 易受攻击且已更新
- 易受攻击但未更新
- 易受攻击但风险低(指定标准部署最佳实践)
- 不易受攻击
- 正在接受调查(可选)
除非面临危机场景,否则通常不在周五下午发布安全公告。
漏洞对比风险分数
McAfee 参与了行业标准 CVSS 漏洞评分系统。 CVSS 分数是确定特定漏洞可对 McAfee 的客户造成多大风险的基准。 CVSS 分数不应与可能出现在 McAfee 产品中或 McAfee 产品在其上执行的相关运行时环境的漏洞严重程度的风险评级混淆。
从 CVSS 分数开始,McAfee 使用“Just Good Enough Risk Rating”(JGERR) 来评价可能影响 McAfee 产品的任何潜在问题的风险。 JGERR 成为 2012 年的 SANS Institute 智能指导 (Smart Guide)。 JGERR 基于“Factor Analysis of Information Risk”(FAIR),后者是 Open Group 标准。 使用 JGERR 评估风险等级时,在风险分析中将以下各方面都纳入了考虑因素:威胁代理的存在和活动、攻击向量、对于威胁代理的漏洞暴露、利用漏洞的便利性或困难度以及来自利用的诸多影响。 隔离中的漏洞仅仅是 McAfee 风险评级的一个方面。
CVSS 基本分数确定我们对于指定事件的初始响应。 McAfee 风险评级确定我们交付修补程序或更新的速度。
安全公告可能包含具有以下名称的产品列表:易受攻击、不易受攻击、易受攻击但是不可利用以及易受攻击但是风险较低。 下面的列表说明了这些类别中的每一个在潜在客户影响方面的含义:
- 易受攻击:产品包含经证实的漏洞。 漏洞会给客户带来某些级别的风险。 可将相关 CVSS 分数用作在典型的部署场景中利用漏洞的影响严重程度的指示。
- 不易受攻击:产品不存在漏洞,或者无法以任何方式利用存在的易受攻击的组件。 使用产品不会给客户带来额外风险。
- 易受攻击但是不可利用:产品包含漏洞,漏洞形式可为映像中包含的库或可执行文件,但是产品具有充分的安全控制措施,因此漏洞不会暴露给威胁代理,让漏洞的利用难以进行或无法进行。 使用产品不会给客户带来额外风险。
- 易受攻击但是风险较低:产品包含漏洞,漏洞形式可为映像中包含的库或可执行文件,但是利用造成的影响可忽略不计,并且利用不会为攻击者带来额外价值。 在建议的和典型的部署场景中使用产品对客户造成的额外风险很小。
