Boletines de seguridad de productos

 

Más información sobre nuestros procedimientos de seguridad para software

Descargar ahora

Intel Security (antes McAfee) concentra todos sus esfuerzos en garantizar la seguridad de los ordenadores, redes, dispositivos y datos de nuestros clientes. Nos comprometemos a resolver los problemas con rapidez y a ofrecer recomendaciones a través de los boletines de seguridad y los artículos de la base de datos de conocimientos.

Envío de muestras de virus Póngase en contacto con el soporte técnico Póngase en contacto con PSIRT
Boletines de seguridad

Si tiene información acerca de un problema o vulnerabilidad de seguridad en un producto de McAfee/Intel Security, por favor envíe un correo electrónico a secure@intel.com con copia a PSIRT@IntelSecurity.com. Cifre la información confidencial con la clave pública PGP de Intel Security.
Incluya tanta información como sea posible, tal como:

  • Información de contacto del descubridor:
    • nombre (completo o alias);
    • dirección física (provincia en lugar de la dirección completa);
    • afiliación/empresa;
    • dirección de correo electrónico;
    • número de teléfono.
  • Información del producto:
    • versiones de producto y/o de hardware afectadas (número de compilación, si se conoce);
    • sistema operativo (si se conoce);
    • configuración de software y/o hardware.
  • Información sobre la vulnerabilidad:
    • descripción detallada de la vulnerabilidad;
    • código de muestra utilizado para crear/verificar la vulnerabilidad;
    • información de exploits conocidos;
    • número de CVE si ya se ha registrado la vulnerabilidad;
    • URL o vínculo para acceder a más información que puede ayudar a los técnicos a analizar o identificador el origen.
  • Planes de comunicación:
    • planes de divulgación;
    • autorización para ser reconocido en el boletín de seguridad como descubridor.

Un miembro del grupo de seguridad de productos de McAfee (PSG, Product Security Group) y/o del equipo de respuesta ante incidentes de seguridad de productos (PSIRT, Product Security Incident Response Team) revisará su correo electrónico y se pondrá en contacto con usted para ayudarle a resolver el problema.

Selección

Las vulnerabilidades del producto de las que se informa externamente son manejadas por el grupo de seguridad de productos de McAfee. Para otros problemas, póngase en contacto con los equipos que aparecen más abajo.

Las vulnerabilidades de las aplicaciones de TI y las aplicaciones web de las que se informa externamente son manejadas por el centro de operaciones de seguridad (SOC, Security Operations Center) de McAfee Global Security Services (GSS).

Vulnerabilidades de aplicaciones de TI o de la web
McAfee Security Operations Center (SOC)
Correo electrónico: abuse.report@mcafee.com
Teléfono: +1 972-987-2745

Las consultas externas sobre rendimiento de productos disponibles en la actualidad son manejadas por el Soporte técnico de McAfee.

Problemas con el rendimiento de productos o software, y con las suscripciones
Soporte técnico de McAfee
Sitio web: http://www.mcafee.com/es/support.aspx

Las muestras de virus y malware son manejadas por McAfee Labs.

Envío de muestras de virus
McAfee Labs
Correo electrónico: virus_research@mcafee.com
Sitio web: http://www.mcafee.com/es/threat-center/resources/how-to-submit-sample.aspx

Póngase en contacto con Intel Security o el equipo PSIRT de McAfee.
Correo electrónico: secure@intel.com
Teléfono: +1 408-753-5752

Póngase en contacto con el equipo PSIRT de Intel
Intel Product Security Center
Correo electrónico: secure@intel.com
Sitio web: https://security-center.intel.com

Declaración de directivas del PSIRT

Viabilidad
Intel Security no anunciará públicamente vulnerabilidades de productos o software sin que haya una solución, parche, hotfix o actualización de versión viable. Si no lo hiciera así, estaría informando a la comunidad de hackers de que nuestros productos son un objetivo, lo que pondría en un peligro aún mayor a nuestros clientes.

Sin favoritos
Intel Security divulga las vulnerabilidades de los productos a todos los clientes al mismo tiempo. A los grandes clientes no se les informa por anticipado. El grupo de seguridad de productos podría informar por anticipado caso a caso y solo bajo un estricto acuerdo de no divulgación.

Descubridores
Intel Security da crédito a los descubridores externos de vulnerabilidades solo si:

  • Están dispuestos a ser identificados como descubridores.
  • No han lanzado contra nosotros amenazas zero-day ni han hecho pública su investigación antes de que se publiquen los boletines SB o los artículos KB.

Los descubridores pueden ser organizaciones, personas o ambas.

Calificación del CVSS
Debe utilizarse la versión más reciente del Common Vulnerability Scoring System (CVSS). En este momento, se utiliza CVSS v3.

Todos los boletines de seguridad deben incluir las calificaciones del CVSS de cada vulnerabilidad, así como los vectores del CVSS correspondientes. Se requieren las calificaciones tanto básicas como temporales. Las calificaciones básicas deben coincidir con las calificaciones asignadas por el NIST (National Institute of Standards and Technology) a las CVE (Common Vulnerabilities and Exposures). 

Mensaje del servicio de notificación SNS
Todos los boletines de seguridad requieren un mensaje, aviso o alerta del Support Notification Service (SNS). Se trata de un servicio en el que confían los clientes de Intel Security que tienen contrato Enterprise Support y otros clientes.

Para suscribirse a las alertas de mensajes de texto del SNS, vaya al SNS Subscription Center (Centro de suscripción del SNS) y seleccione "Create a New Account" (Crear cuenta nueva).

Respuestas
Las respuestas de Intel Security con correcciones y alertas dependen de la calificación básica más alta del sistema de calificación común de vulnerabilidades CVSS.

Prioridad (seguridad)Calificación de CVSS v2Correcciones habitualesSNS
P1 (crítica) 8,5-10 (alta) Hotfix Alerta
P2 (crítica) 7-8,4 (alta) Parche Aviso
P3 (media) 4-6,9 (media) Parche Aviso
P4 (baja) 0-3,9 (baja) Actualización de la versión Opcional
P5 (información) 0 No se solucionará, informativa. ND


Mecanismos de comunicación externa
El mecanismo de comunicación externa de Intel Security depende de la calificación básica del CVSS, la cantidad de consultas de los clientes y la atención prestada por los medios de comunicación.                                    

  • SB = boletín de seguridad (4-10)
  • KB = artículo de KnowledgeBase (2-4)
  • SS = boletín informativo (0-4)
  • NN = no es necesario (0)
 CVSS = 0
Bajo
0 < CVSS < 4
Bajo
4 < CVSS < 7
Media
7 < CVSS < 10
Alta
Divulgación externa (CVE) KB si hay varias consultas. En caso contrario, NN. KB SB, SNS SB, SNS
Divulgación a clientes SS SS SB, SNS SB, SNS
Divulgación interna NN NN Documento en las notas de la versión SB
(después de la publicación)


Situaciones de crisis
Para las vulnerabilidades conocidas y muy graves que afecten a varios productos, puede publicarse un boletín de seguridad con un parche para un producto. Después, se actualiza con otros parches y descripciones para los otros productos a medida que estén disponibles.

En los boletines de seguridad con varios productos vulnerables se enumerarán todos los productos, de empresas y consumidores, en las siguientes categorías:

  • Vulnerable y actualizado
  • Vulnerable y no actualizado aún
  • Vulnerable, pero de riesgo bajo (según los procedimientos recomendados de despliegue estándar)
  • No vulnerable
  • Bajo investigación (opcional)

Los boletines de seguridad no suelen publicarse los viernes por la tarde, excepto en situaciones de crisis.

Vulnerabilidad y calificación del riesgo
Intel Security participa en el sistema de calificación de vulnerabilidades CVSS estándar del sector. Las calificaciones del CVSS deben ser consideradas como el primer paso para determinar qué vulnerabilidad en particular puede ser un riesgo para los clientes de Intel Security. La calificación del CVSS no debe confundirse con la calificación del riesgo referente a la gravedad de las vulnerabilidades que pueden producirse en los productos de Intel Security/McAfee o en los entornos en tiempo de ejecución asociados en los que se ejecutan los productos de Intel Security.

Comenzando con la calificación del CVSS, Intel Security utiliza la calificación de riesgo "Just Good Enough Risk Rating" (JGERR) para valorar el riesgo de cualquier problema potencial que pudiera afectar a sus productos. EN 2012, JGERR se convirtió en la guía Smart Guide de SANS Institute. JGERR está basado en el estándar "Factor Analysis of Information Risk" (FAIR) de The Open Group. Cuando se califican los riesgos con JGERR, se tienen en cuenta factores tales como la presencia y actividad de agentes de amenaza, vectores de ataque, exposición de una vulnerabilidad a los agentes de amenaza, la facilidad o dificultad de explotar la vulnerabilidad y cualquier otro impacto que pueda resultar de explotarla. La vulnerabilidad aislada es solo un aspecto de la calificación de riesgos de Intel Security.

La calificación básica de CVSS determina nuestra respuesta inicial a un incidente dado. La calificación del riesgo de Intel Security determina con qué rapidez entregamos el parche o la actualización.

Los boletines de seguridad pueden contener listas de productos con las siguientes designaciones: vulnerable, no vulnerable, vulnerable pero no explotable, y vulnerable pero de riesgo bajo. En la siguiente lista se indica qué significa cada una estas categorías en cuanto al impacto potencial en los clientes:

  • Vulnerable: el producto contiene la vulnerabilidad y supone algún grado de riesgo para los clientes. La calificación de CVSS asociada puede tomarse como una indicación de la gravedad del impacto que tendría si la vulnerabilidad se explota en escenarios de despliegue típicos.
  • No vulnerable: el producto no contiene la vulnerabilidad o la presencia de un componente vulnerable no puede explotarse de ninguna forma. El uso del producto no representa ningún riesgo para los clientes.
  • Vulnerable pero no explotable: el producto contiene la vulnerabilidad, quizá como biblioteca o ejecutable incluido en la imagen. Sin embargo, cuenta con suficientes controles de seguridad para que la vulnerabilidad no pueda ser aprovechada por agentes de amenaza. Explotar la vulnerabilidad es muy difícil o imposible. El uso del producto no representa ningún riesgo para los clientes.
  • Vulnerable, pero de riesgo bajo: el producto contiene la vulnerabilidad, quizá como biblioteca o ejecutable incluido en la imagen de software. Sin embargo, el impacto de aprovecharla es insignificante y no da al atacante ningún valor adicional. El probable que el uso del producto represente un pequeño riesgo para los clientes que lo utilicen en despliegues recomendados y típicos.