產品資訊安全佈告欄

產品安全性作法

深入瞭解我們產品軟體的安全性實務作法

McAfee 著重於確保客戶的電腦、網路、裝置及資料的安全。 我們致力於在問題發生時即迅速處理,並且透過資訊安全佈告欄和知識庫文章提供建議。 如需詳細資訊,請連絡 PSIRT 團隊

提交病毒樣本聯絡技術支援

May 21, 2018: Spectre NG

Intel 於 2018 年 5 月 21 日揭露兩個稱為 Spectre NG 的新型旁路漏洞組合,其對 McAfee 裝置產品造成影響。

  • CVE-2018-3639-Speculative Store Bypass (SSB),亦稱為「變體 4」
  • CVE-2018-3640-Rogue System Register Read (RSRE),亦稱為「變體 3a」

知識庫文章:

  • KB90619-McAfee 對 Spectre-NG 報告的回應

 

View All Banner Archives
資訊安全佈告欄
資訊安全佈告欄 – 消費者
TS102769 Microsoft 安全性更新 2018 年 1 月 (Meltdown 和 Spectre) 和 McAfee 消費者產品 (CVE-2017-5715、CVE-2017-5753、CVE-2017-5754) 2018 年 1 月 3 日
TS102723 McAfee Live Safe 和 McAfee Security Scan Plus 更新修正攔截式漏洞 (CVE-2017-3897 和 CVE-2017-3898) 2017 年 8 月 31 日
TS102714 McAfee Security Scan Plus 更新修正潛在的攔截式漏洞 (CVE-2017-3897) 2017 年 7 月 28 日
TS102651 更新修正 McAfee AntiVirus Plus、McAfee Internet Security 與 McAfee Total Protection 的潛在漏洞 (CVE-2017-4028) 2017 年 3 月 29 日
TS102614 已修正 McAfee Security Scan Plus 的潛在漏洞 (CVE-2016-8026) 2016 年 12 月 21 日
TS102593 Security Scan Plus 更新修正 McUICnt.exe 的不安全載入 (CVE-2016-8008) 2016 年 11 月 14 日
TS102570 已修正「McOemCpy.exe」,避免載入尚未驗證的 DLL 檔案 2016 年 10 月 7 日
TS102516 McAfee Total Protection Suite 更新修正 McAfee File Lock 的緩衝區溢位和記憶體洩漏 (CVE-2015-8772) 2016 年 4 月 28 日
TS102462 多個 McAfee 安裝程式和解除安裝程式的安全性修補程式 (CVE-2015-8991、CVE-2015-8992、CVE-2015-8993) 2015 年 12 月 3 日
TS102504 如何通知 McAfee 消費者產品的潛在漏洞 通知方式文件

如果您有關於 McAfee 產品的安全性問題或弱點相關資訊,請傳送電子郵件至 PSIRT@McAfee.com。 使用 McAfee 的 PGP 公開金鑰加密敏感資訊。
資訊請盡可能詳細,包括:

  • 發現者的連絡資訊:
    • 名字 (全名或暱稱)
    • 實體地址 (至少提供正確的州/省)
    • 工會/公司
    • 電子郵件地址
    • 電話號碼
  • 產品資訊:
    • 產品及/或受影響的硬體版本 (組建編號,若已知)
    • 作業系統 (若已知)
    • 軟體及/或硬體組態
  • 弱點資訊:
    • 弱點的詳細說明
    • 用來建立/確認弱點的範例程式碼
    • 已知入侵的相關資訊
    • CVE 號碼 (如果弱點已有記錄)
    • 可提供進一步資訊的 URL 或連結,有助於工程團隊分析或找出根本原因
  • 宣導計畫:
    • 公佈計畫 (日期和途徑)
    • 權限 (用於獲確認為資訊安全佈告欄中的發現者)

McAfee Product Security Group (PSG) 及/或 Product Security Incident Response Team (PSIRT,產品安全性事件回應團隊) 的成員會檢閱您的電子郵件,並連絡您以共同合作解決問題。

分類

McAfee Product Security Group 會處理所有產品弱點。 若為其他問題,請連絡下列任一團隊:

McAfee Global Security Services (GSS) Security Operations Center (SOC) 會處理 IT 應用程式及 Web 應用程式弱點。

IT 應用程式或 Web 漏洞
McAfee Security Operations Center (SOC)
電子郵件: abuse.report@mcafee.com
電話:+1 972-987-2745

McAfee 技術支援會處理關於目前販售之產品效能的外部查詢。

產品或軟體效能,或訂閱問題
McAfee 技術支援
網頁:http://www.mcafee.com/us/support.aspx

McAfee Labs 會處理病毒及惡意軟體樣本。

提交病毒樣本
McAfee Labs
電子郵件:virus_research@mcafee.com
網頁:http://www.mcafee.com/enterprise/en-us/threat-center/how-to-submit-sample.html

連絡 McAfee PSIRT
電子郵件:PSIRT@McAfee.com
電話:+1 408-753-5752

PSIRT 政策聲明

可行
McAfee 不會在沒有可行因應措施、修補程式、修正程式、版本更新的情況下,就公開宣佈產品或軟體弱點,因為此舉只是向駭客社群昭告我們的產品為下手目標,反而讓客戶面臨更大的風險。 針對媒體高度關注的漏洞 (例如 HeartBleed),我們會發佈橫幅通知,說明我們的認知與行動。

毫無偏袒
為了公平起見,McAfee 會同時向所有客戶公佈產品弱點。 大客戶一般而言不會提前收到通知。只在具備嚴謹的 NDA 時,PSG 才會視個別情況提前予以通知。

發現者
:唯有在下列情況下,McAfee 才會歸功於弱點發現者:

  • 對方希望被視為發現者。
  • 對方未在 SB 或 KB 公佈之前進行「零時差」攻擊或公開其研究。

組織、個人或兩者都可被視為發現者。

CVSS 評分
預計將使用最新版 Common Vulnerability Scoring System (CVSS)。 目前使用的是 CVSS v3

所有資訊安全佈告欄都必須包含每個弱點的 CVSS 分數及相關的 CVSS 媒介。基本分數是必要的項目。 暫時和環境分數是選擇性的項目。 在理想的情況下,基本分數應符合 NIST 指定給 CVE 的分數。

Support Notification Service (SNS) 訊息
Support Notification Service (SNS) 訊息、通知或警示在所有資訊安全佈告欄中是必要的項目。 這是 McAfee Enterprise Support 客戶及其他客戶仰賴的服務。

若要訂閱 SNS 文字警示,請前往 SNS 要求中心 進行訂閱。

回應原則
McAfee 的修正和警示回應取決於最高的 CVSS 基本分數。

優先順序 (安全性)CVSS v2 分數 一般修正回應* SNS
P1 - 嚴重 8.5-10.0 高 修正程式 警示
P2 - 高 7.0-8.4 高 修補程式 注意
P3 - 中 4.0-6.9 中 修補程式 注意
P4 - 低 0.0-3.9 低 版本更新 可選
P5 - 資訊 0.0 將不會修正。 參考。 不適用

*注意:修正回應是根據漏洞的嚴重程度、產品生命週期,以及修正的可行性。 上述一般修正回應並非承諾為所有支援的產品版本提供修正程式、修補程式或版本更新。


外部溝通機制
McAfee 的外部溝通機制取決於 CVSS 基本分數、客戶查詢數量,以及媒體關注量。                                   

  • SB = 資訊安全佈告欄 (4-10)
  • KB = 知識庫文章 (2-4)
  • SS = 維持聲明 (0-4)
  • NN = 不需要 (0)
 CVSS = 0
0 < CVSS < 4
4 ≤ CVSS < 7
7 ≤ CVSS ≤ 10
外部公佈 (CVE) 如有多個問題則使用 KB,否則使用 NN KB SB、SNS SB、SNS
客戶公佈 SS SS SB、SNS SB、SNS
內部公佈 NN 版本資訊中的文件 SB (發行後)、版本資訊中的文件 SB
(發行後)、版本資訊中的文件


危機案例
針對影響多項產品的公開已知高嚴重性漏洞,可能會發佈資訊安全佈告欄,並提供一個產品的修補程式,然後稍後在其他產品的其他修補程式和描述推出時加以更新。

含有多種弱點產品的資訊安全佈告欄會依照以下分類列出所有產品、企業及消費者:

  • 具弱點且已更新
  • 具弱點且未更新
  • 具弱點但風險低 (前提是已採取標準部署最佳作法)
  • 無弱點
  • 調查中 (選用)

除非是緊急情況,否則通常不會於星期五下午發佈資訊安全佈告。

漏洞與風險分數
McAfee 參與業界標準 CVSS 漏洞評分系統。 CVSS 分數應視為判斷特定漏洞可能會對 McAfee 的客戶造成何種風險的起點。 CVSS 分數不應與 McAfee 產品中可能發生的漏洞嚴重性的風險評分混淆,或與執行 McAfee 產品之關聯執行階段環境的風險評分混淆。

從 CVSS 分數開始,McAfee 使用 “Just Good Enough Risk Rating” (JGERR) 來對可能會影響 McAfee 產品的任何潛在問題的風險進行評分。 JGERR 在 2012 年成為系統網絡安全協會 (SANS Institute Smart Guide) 的智慧指南。 JGERR 是根據 Open Group (開放群組) 標準 ”Factor Analysis of Information Risk” (FAIR)。 使用 JGERR 評分風險時,其他要素 (例如威脅代理程式的存在和活動、攻擊媒介、威脅代理程式的漏洞暴露、入侵漏洞的難易度,以及來自入侵的任何影響) 全都會列入風險分析的要素。 個別的漏洞只是 McAfee 風險評分的一個層面。

CVSS 基本分數會決定我們對特定事件的初步回應。 McAfee 風險評分會決定我們提供修補程式或更新的速度。

資訊安全佈告欄可能包含具有下列指定的產品清單:易受攻擊、不易受攻擊、易受攻擊但無法入侵,以及易受攻擊但低風險。 下列清單說明這些類別在潛在客戶影響方面分別代表的涵義:

  • 易受攻擊:產品包含通過驗證的漏洞。 漏洞會對客戶造成某種程度的風險。 在一般部署案例中,關聯的 CVSS 分數可當作漏洞入侵之影響的嚴重性的指標。
  • 不易受攻擊:產品不包含漏洞,或易受攻擊元件的存在無法以任何方式入侵。 使用此類產品不會為客戶帶來任何其他風險。
  • 易受攻擊但無法入侵:產品包含漏洞 (可能是隨附的程式庫或影像中的可執行檔的形式),但產品提供充分的安全性控制,這樣就不會向威脅代理程式暴露漏洞,讓漏洞入侵變得非常困難,甚至無法入侵。 使用此類產品不會為客戶帶來任何其他風險。
  • 易受攻擊但低風險:產品包含漏洞 (可能是隨附的程式庫或軟體影像中的可執行檔的形式),但可忽略入侵的影響,而且不會對攻擊者提供其他入侵價值。 如果客戶在建議和一般部署案例中使用產品,則產品使用可能存在極少的其他風險。