產品資訊安全佈告欄

report

產品安全性作法

深入瞭解我們產品軟體的安全性實務作法

McAfee 著重於確保客戶的電腦、網路、裝置及資料的安全。 我們致力於在問題發生之際迅速解決,並透過資訊安全佈告欄和知識庫文章提供相關建議。 如需支援、提交病毒樣本或索取 URL 分類,請選取相關按鈕。 若要回報本公司產品與網站的漏洞,請按下方的「回報安全性漏洞」標籤。

提交病毒樣本聯絡企業支援聯絡消費者支援索取 URL 分類

2018 年 5 月 21 日:Spectre NG

Intel 於 2018 年 5 月 21 日揭露兩個稱為 Spectre NG 的新型旁路漏洞組合,其對 McAfee 裝置產品造成影響。

  • CVE-2018-3639-Speculative Store Bypass (SSB),亦稱為「變體 4」
  • CVE-2018-3640-Rogue System Register Read (RSRE),亦稱為「變體 3a」

知識庫文章:

  • KB90619-McAfee 對 Spectre-NG 報告的回應

 

查看所有橫幅封存記錄
資訊安全佈告欄
資訊安全佈告欄 – 消費者

McAfee 與 HackerOne 攜手合作,處理本公司產品和公開網站潛在安全性或漏洞問題的報告。 目前,我們正與他們共同執行一項不公開計畫,唯有受邀加入的使用者能提交報告。

如果這是您首次回報,請將電子郵件寄送至 security_report@mcafee.com

這會觸發 HackerOne 系統自動回應,到時系統會提供後續操作指示。 之後,您便可透過 HackerOne 的系統直接提交報告。

您在第一封電子郵件中附上的所有資訊,都會自動新增至 HackerOne 系統。

進入系統後,請提供下列資訊:

  • 聯絡資訊 (所有往來都會透過系統進行)
  • 問題概述
  • 重現問題的詳盡步驟,包括任何範例程式碼和截圖/影片
  • 產品漏洞
    • 產品、版本和作業系統
  • 網站漏洞
    • 瀏覽器與版本
  • 任何揭露計畫

產品或網站漏洞報告

McAfee PSIRT
電子郵件:security_report@mcafee.com

企業產品或軟體效能,或訂閱問題
企業支援

消費者產品或軟體效能,或訂閱問題
消費者支援

提交病毒樣本
深入瞭解

提交要分類的 URL,或對分類結果提出質疑
深入瞭解

聯絡 McAfee PSIRT
電子郵件:Security_Report@McAfee.com

PSIRT 政策聲明

可行
McAfee 不會在沒有可行因應措施、修補程式、修正程式、版本更新的情況下,就公開宣佈產品或軟體弱點,因為此舉只是向駭客社群昭告我們的產品為下手目標,反而讓客戶面臨更大的風險。 針對媒體高度關注的漏洞 (例如 HeartBleed),我們會發佈橫幅通知,說明我們的認知與行動。

毫無偏袒
為了公平起見,McAfee 會同時向所有客戶公佈產品弱點。 大客戶一般而言不會提前收到通知。只在具備嚴謹的 NDA 時,CISO 才會視個別情況提前予以通知。

發現者
:唯有在下列情況下,McAfee 才會歸功於弱點發現者:

  • 對方希望被視為發現者。
  • 對方未在 SB 或 KB 公佈之前進行「零時差」攻擊或公開其研究。

組織、個人或兩者都可被視為發現者。

CVSS 評分
預計將使用最新版 Common Vulnerability Scoring System (CVSS)。 目前使用的是 CVSS v3

所有資訊安全佈告欄都必須包含每個弱點的 CVSS 分數及相關的 CVSS 媒介。基本分數是必要的項目。 暫時和環境分數是選擇性的項目。 在理想的情況下,基本分數應符合 NIST 指定給 CVE 的分數。

Support Notification Service (SNS) 訊息
Support Notification Service (SNS) 訊息、通知或警示在所有資訊安全佈告欄中是必要的項目。 這是 McAfee Enterprise Support 客戶及其他客戶仰賴的服務。

若要訂閱 SNS 文字警示,請前往 SNS 要求中心 進行訂閱。

回應原則
McAfee 的修正和警示回應取決於最高的 CVSS 基本分數。

優先順序 (安全性)CVSS v2 分數 一般修正回應* SNS
P1 - 嚴重 8.5-10.0 高 修正程式 警示
P2 - 高 7.0-8.4 高 更新 注意
P3 - 中 4.0-6.9 中 更新 注意
P4 - 低 0.0-3.9 低 版本更新 可選
P5 - 資訊 0.0 將不會修正。 參考。 不適用

*注意:修正回應是根據漏洞的嚴重程度、產品生命週期,以及修正的可行性。 上述一般修正回應並非承諾為所有支援的產品版本提供修正程式、修補程式或版本更新。


外部溝通機制
McAfee 的外部溝通機制取決於 CVSS 基本分數、客戶查詢數量,以及媒體關注量。                                   

  • SB = 資訊安全佈告欄 (4-10)
  • KB = 知識庫文章 (2-4)
  • SS = 維持聲明 (0-4)
  • NN = 不需要 (0)
 CVSS = 0
0 < CVSS < 4
4 ≤ CVSS < 7
7 ≤ CVSS ≤ 10
外部公佈 (CVE) 如有多個問題則使用 KB,否則使用 NN KB SB、SNS SB、SNS
客戶公佈 SS SS SB、SNS SB、SNS
內部公佈 NN 版本資訊中的文件 SB (發行後)、版本資訊中的文件 SB
(發行後)、版本資訊中的文件


危機案例
針對影響多項產品的公開已知高嚴重性漏洞,可能會發佈資訊安全佈告欄,並提供一個產品的修補程式,然後稍後在其他產品的其他修補程式和描述推出時加以更新。

含有多種弱點產品的資訊安全佈告欄會依照以下分類列出所有產品、企業及消費者:

  • 具弱點且已更新
  • 具弱點且未更新
  • 具弱點但風險低 (前提是已採取標準部署最佳作法)
  • 無弱點
  • 調查中 (選用)

除非是緊急情況,否則通常不會於星期五下午發佈資訊安全佈告。

漏洞與風險分數
McAfee 參與業界標準 CVSS 漏洞評分系統。 CVSS 分數應視為判斷特定漏洞可能會對 McAfee 的客戶造成何種風險的起點。 CVSS 分數不應與 McAfee 產品中可能發生的漏洞嚴重性的風險評分混淆,或與執行 McAfee 產品之關聯執行階段環境的風險評分混淆。

CVSS 基本分數會決定我們對特定事件的初步回應。

資訊安全佈告欄可能包含具有下列指定的產品清單:易受攻擊、不易受攻擊、易受攻擊但無法入侵,以及易受攻擊但低風險。 下列清單說明這些類別在潛在客戶影響方面分別代表的涵義:

  • 易受攻擊:產品包含通過驗證的漏洞。 漏洞會對客戶造成某種程度的風險。 在一般部署案例中,關聯的 CVSS 分數可當作漏洞入侵之影響的嚴重性的指標。
  • 不易受攻擊:產品不包含漏洞,或易受攻擊元件的存在無法以任何方式入侵。 使用此類產品不會為客戶帶來任何其他風險。
  • 易受攻擊但無法入侵:產品包含漏洞 (可能是隨附的程式庫或影像中的可執行檔的形式),但產品提供充分的安全性控制,這樣就不會向威脅代理程式暴露漏洞,讓漏洞入侵變得非常困難,甚至無法入侵。 使用此類產品不會為客戶帶來任何其他風險。
  • 易受攻擊但低風險:產品包含漏洞 (可能是隨附的程式庫或軟體影像中的可執行檔的形式),但可忽略入侵的影響,而且不會對攻擊者提供其他入侵價值。 如果客戶在建議和一般部署案例中使用產品,則產品使用可能存在極少的其他風險。