產品資訊安全佈告欄

 

深入瞭解我們產品軟體的安全性實務作法

立即下載

McAfee 著重於確保客戶的電腦、網路、裝置及資料的安全。我們致力於在問題發生時即迅速處理,並且透過資訊安全佈告欄和知識庫文章提供建議。

提交病毒樣本 聯絡技術支援 聯絡 PSIRT
McAfee 已得知影響所有 Windows 程式的 DoubleAgent 攻擊。

McAfee 產品具備自我保護機制,能協助緩解此類攻擊,且目前已將此攻擊送交審查,以確保額外防護。

如需詳細資訊,請參閱此部落格SB10192KB88085
資訊安全佈告欄

如果您要回報安全性問題,或有 McAfee / Intel Security 產品漏洞的相關資訊,請傳送電子郵件至 secure@intel.com,並以副本傳送至 PSIRT@IntelSecurity.com。使用 Intel 的 PGP 公開金鑰加密敏感資訊。
資訊請盡可能詳細,包括:

  • 發現者的連絡資訊:
    • 名字 (全名或暱稱)
    • 實體地址 (州/省即可,而不是完整地址)
    • 工會/公司
    • 電子郵件地址
    • 電話號碼
  • 產品資訊:
    • 產品及/或受影響的硬體版本 (組建編號,若已知)
    • 作業系統 (若已知)
    • 軟體及/或硬體組態
  • 弱點資訊:
    • 弱點的詳細說明
    • 用來建立/確認弱點的範例程式碼
    • 已知入侵的相關資訊
    • CVE 號碼 (如果弱點已有記錄)
    • 可提供進一步資訊的 URL 或連結,有助於工程團隊分析或找出根本原因
  • 宣導計畫:
    • 揭露計畫
    • 權限 (用於獲確認為資訊安全佈告欄中的發現者)

McAfee Product Security Group (PSG) 及/或 Product Security Incident Response Team (PSIRT,產品安全性事件回應團隊) 的成員會檢閱您的電子郵件,並連絡您以共同合作解決問題。

分類

McAfee Product Security Group 會處理由外部回報的產品弱點。若為其他問題,請連絡下列任一團隊:

McAfee Global Security Services (GSS) Security Operations Center (SOC) 會處理由外部回報的 IT 應用程式及 Web 應用程式弱點。

IT 應用程式或 Web 弱點
McAfee Security Operations Center (SOC)
電子郵件地址:abuse.report@mcafee.com
電話:+1 972-987-2745

McAfee 技術支援會處理關於目前販售之產品效能的外部查詢。

產品、軟體效能或訂閱問題
McAfee 技術支援
網站:http://www.mcafee.com/tw/support.aspx

McAfee Labs 會處理病毒及惡意軟體樣本。

提交病毒樣本
McAfee Labs
電子郵件地址:virus_research@mcafee.com
網站:http://www.mcafee.com/tw/threat-center/resources/how-to-submit-sample.aspx

聯絡 Intel Security/McAfee PSIRT
電子郵件:secure@intel.com
電話:+1 408-753-5752

連絡 Intel PSIRT
Intel Product Security Center
電子郵件:secure@intel.com
網站:https://security-center.intel.com

PSIRT 政策聲明

可付諸施行
Intel Security 不會在沒有可行解決方法、修補程式、修正程式、版本更新的情況下,逕自公開宣佈產品或軟體弱點,因為此舉只是向駭客社群昭告我們的產品為下手目標,反而讓客戶面臨更大的風險。

毫無偏袒
Intel Security 會同時向所有客戶揭露產品弱點。大客戶一般而言不會提前收到通知。只在具備嚴謹的 NDA 時,PSG 才會視個別情況提前予以通知。

發現者
唯有在下列情況下,Intel Security 才會歸功於外部弱點發現者:

  • 對方希望被視為發現者。
  • 對方未在 SB 或 KB 公佈之前進行「零時差」攻擊或公開其研究。

組織、個人或兩者都可被視為發現者。

CVSS 計分
預計將使用最新版 Common Vulnerability Scoring System (CVSS)。目前使用的是 CVSS v3

所有資訊安全佈告欄都必須包含每個弱點的 CVSS 分數及相關的 CVSS 媒介。需提供基本及暫時分數。基本分數應符合 NIST 指定給 CVE 的分數。 

Support Notification Service (SNS) 訊息
所有資訊安全佈告欄都需使用 Support Notification Service (SNS) 訊息、通知或警示。Intel Security Enterprise Support 顧客與其他客戶皆仰賴此服務所提供的訊息。

若要訂閱 SNS 文字警示,請前往 SNS 要求中心並「建立新帳戶」。

回應政策
Intel Security 的修正與警示回應是取決於最高的 CVSS 基本分數。

優先順序 (安全性)CVSS v2 分數一般修正回應SNS
P1 - 重大 8.5-10.0 高 修正程式 警示
P2 - 高 7.0-8.4 高 修補程式 注意
P3 - 中 4.0-6.9 中 修補程式 注意
P4 - 低 0.0-3.9 低 版本更新 可選
P5 - 參考 0.0 將不會修正。參考。 不適用


外部通訊機制
Intel Security 的外部通訊機制取決於 CVSS 基本分數、客戶查詢的數量,以及受媒體關的程度。                                   

  • SB = 資訊安全佈告欄 (4-10)
  • KB = KnowledgeBase 文章 (2-4)
  • SS = 支援聲明 (0-4)
  • NN = 不需要 (0)
 CVSS = 0
0 < CVSS < 4
4 ≤ CVSS < 7
7 ≤ CVSS ≤ 10
外部揭露 (CVE) 如有多個問題則使用 KB,否則使用 NN KB SB、SNS SB、SNS
客戶揭露 SS SS SB、SNS SB、SNS
內部揭露 NN NN 版本資訊中的文件 SB
(釋出後)


緊急情況
若屬於會影響多項 產品的公開高嚴重性弱點,我們會發佈一項產品的資訊安全佈告及修補程式,接著會在可提供其他產品適用的其他修補程式和說明時,稍晚更新資訊安全佈告欄。

含有多種弱點產品的資訊安全佈告欄會依照以下分類列出所有產品、企業及消費者:

  • 具弱點且已更新
  • 具弱點且未更新
  • 具弱點但風險低 (前提是已採取標準部署最佳作法)
  • 無弱點
  • 調查中 (選用)

除非是緊急情況,否則通常不會於星期五下午發佈資訊安全佈告。

弱點與風險分數
Intel Security 已參與符合業界標準的 CVSS 弱點評分系統。CVSS 分數可視為判定基準,藉此判斷特定弱點可能會讓 Intel Security 客戶承受何種風險。CVSS 分數與弱點嚴重性的風險分級並不相同,後者是指 Intel Security/McAfee 產品中,或執行 Intel Security 產品的相關執行階段環境中可能出現的弱點。

首先,關於 CVSS 分數,Intel Security 使用「恰到好處風險分級」(JGERR, Just Good Enough Risk Rating),將任何可能對 Intel Security 產品造成影響的潛在問題進行風險分級。JGERR 於 2012 年成為 SANS Institute 的有利指南。JGERR 是以 Open Group 所設立的「資訊風險因素分析」(FAIR, Factor Analysis of Information Risk) 標準為基礎。使用 JGERR 進行風險評等時,會將其他因素納入風險分析的考量因素,包括威脅代理程式是否存在和所進行的活動、攻擊媒介、威脅代理程式是否發現弱點、弱點受攻擊的難易程度、以及攻擊帶來的任何影響等。隔離中的弱點只是 Intel Security 風險分級的其中一環。

CVSS 基本分數可決定我們對特定事件的最初因應方式。Intel Security 風險分級則可決定我們發佈修補程式或更新的時間。

安全佈告欄會提供分屬於下列類別的產品清單:具有弱點、不具有弱點、具有弱點但不易受攻擊,以及具有弱點但風險低。以下清單說明產品如果在這些類別中可能會為客戶帶來的影響:

  • 具有弱點:產品具有弱點。客戶要承受弱點帶來一定程度的風險。相關的 CVSS 分數可用於表示,在一般的部署環境中,弱點受攻擊帶來的影響嚴重性。
  • 不具有弱點:產品沒有弱點,或是具有弱點的元件不會遭受任何形式的攻擊。使用此類產品不會為客戶帶來任何其他風險。
  • 具有弱點但不易受攻擊:產品有弱點,可能是隨附的程式庫或映像中的執行檔,但是產品提供齊全的安全性控制功能,使得威脅代理程式找不到弱點,難以或不可能對弱點進行攻擊。使用此類產品不會為客戶帶來任何其他風險。
  • 具有弱點但風險低:產品含有弱點,可能是隨附的程式庫或映像中的執行檔,但是攻擊帶來的影響微不足道,進行攻擊無法為攻擊者提供任何額外利益。如果客戶在建議或一般部署環境中使用此類產品,可能要承受些許額外的風險。