Boletins de segurança de produtos

report

Práticas de segurança de produtos

Saiba mais sobre nossas práticas de segurança de software

A McAfee está profundamente focada em garantir a segurança de computadores, redes, dispositivos e dados de seus clientes. Nós temos o compromisso de lidar rapidamente com problemas no momento em que eles surgirem e de oferecer recomendações através de boletins de segurança e artigos da base de conhecimentos. Se você precisar de suporte, quiser enviar um vírus para análise ou solicitar uma categorização de URL, selecione o botão relevante. Para relatar vulnerabilidades em nossos produtos e sites, clique abaixo na aba “Relatar uma vulnerabilidade de segurança”.

Envie uma amostra de vírusFale com o suporte para grandes empresasFale com o suporte ao consumidorSolicitação de classificação de URL

21 de maio de 2018: Spectre NG

Conjunto de duas novas vulnerabilidades de canal paralelo revelado pela Intel em 21 de maio de 2018, intitulado Spectre NG, afeta produtos de appliances da McAfee.

  • CVE-2018-3639 – Speculative Store Bypass (SSB) – também conhecida como Variante 4
  • CVE-2018-3640 – Rogue System Register Read (RSRE) – também conhecida como Variante 3a

Artigos da base de conhecimentos:

  • KB90619 – Resposta da McAfee aos relatos sobre o Spectre-NG

 

Ver todos os arquivos de banners
Boletins de segurança
Boletins de Segurança – Consumidores

A McAfee se associou à HackerOne para lidar com relatos de possíveis problemas de segurança ou vulnerabilidades em nossos produtos e sites públicos. Estamos realizando um programa privado com eles e você precisa ser convidado a ingressar no programa para poder enviar seu relatório.

Para enviar seu primeiro relatório, envie um e-mail para security_report@mcafee.com.

Isso acionará uma resposta automática do sistema da HackerOne contendo instruções sobre como prosseguir. Os relatórios seguintes podem ser enviados diretamente através do sistema do HackerOne.

Quaisquer informações incluídas em seu e-mail inicial serão adicionadas automaticamente ao sistema do HackerOne.

Depois de entrar no sistema, forneça:

  • Informações de contato (toda a interação se dará pelo sistema)
  • Resumo de sua descoberta
  • Instruções detalhadas de reprodução, incluindo qualquer código de exemplo e capturas de tela/vídeos
  • Vulnerabilidades de produtos
    • Produto, versão e sistema operacional
  • Vulnerabilidades de sites
    • Navegador e versão
  • Quaisquer planos de divulgação

Relatórios de vulnerabilidade de produtos ou sites

McAfee PSIRT
E-mail: security_report@mcafee.com

Desempenho de software ou produtos para grandes empresas
Suporte para grandes empresas

Desempenho de software ou produtos para o consumidor
Suporte ao consumidor

Enviar amostra de vírus
Saiba mais

Enviar um URL para classificação ou questionar uma classificação
Saiba mais

Fale com um McAfee PSIRT
E-mail: Security_Report@McAfee.com

Declarações de políticas do PSIRT

Decisivo
A McAfee não anunciará publicamente vulnerabilidades de produtos ou software sem que haja um patch, um hotfix, uma atualização de versão ou uma solução alternativa para o problema; do contrário, nós estaríamos apenas informando à comunidade hacker que nossos produtos são um alvo e colocando nossos clientes em uma posição muito arriscada. No caso de vulnerabilidades que ganhem muito destaque na mídia, como o HeartBleed, nós postaremos um banner declarando que estamos cientes e as ações que estamos tomando.

Sem favoritismo
A McAfee revela as vulnerabilidades de produtos a todos os clientes ao mesmo tempo. Em circunstâncias normais, os clientes grandes não são avisados com antecedência. Esse aviso com antecedência pode ser concedido pelo CISO caso a caso e apenas com um rigoroso contrato de confidencialidade.

Descobridores
A McAfee só dá crédito aos descobridores de vulnerabilidades nestas circunstâncias:

  • Quando eles querem ser identificados como descobridores.
  • Quando eles não revelam publicamente a vulnerabilidade no “dia zero”, antes do boletim de segurança ou do artigo do KB ser publicado.

Organizações, indivíduos ou ambos podem ser identificados como descobridores.

Pontuação CVSS
A versão mais recente do sistema comum de pontuação de vulnerabilidades (CVSS, Common Vulnerability Scoring System) deve ser usada. O CVSS v3 está sendo usado no momento.

Todos os boletins de segurança devem incluir as pontuações do CVSS para cada vulnerabilidade, bem como os vetores de CVSS associados. A pontuação básica é necessária. Tanto a pontuação temporal quanto a ambiental são opcionais. Em uma situação ideal, as pontuações básicas devem corresponder às pontuações atribuídas pelo NIST para CVEs.

Mensagem do Support Notification Service (SNS)
Todos os boletins de segurança exigem uma mensagem, um aviso ou um alerta do Support Notification Service (SNS). Esse é um serviço no qual os clientes do McAfee Enterprise Support e outros clientes confiam.

Para inscrever-se e receber alertas de texto do SNS, acesse o SNS Request Center (centro de solicitações do SNS) e faça sua assinatura

Política de resposta
A resposta da McAfee para alertas e correções depende da pontuação básica mais alta de CVSS.

Prioridade (segurança)Pontuação CVSS Resposta típica para correções* SNS
P1 - Crítica 9,0-10 Alta Hotfix Alerta
P2 - Alta 7-8,9 Alta Atualizar Aviso
P3 - Média 4-6,9 Média Atualizar Aviso
P4 - Baixa 0-3,9 Baixa Atualização de versão Opcional
P5 - Info 0 Não será corrigido. Informativo. ND

*Observação: a resposta de correção é baseada na gravidade da vulnerabilidade, no ciclo de vida de produtos e na viabilidade de uma correção. A resposta típica para correções descrita acima não é um compromisso de produção de hotfix, patch ou atualização de versão para todas as versões suportadas do produto.


Mecanismos externos de comunicação
O mecanismo externo de comunicação da McAfee depende da pontuação básica de CVSS, da quantidade de consultas de clientes e do volume de atenção da mídia.                                    

  • SB = Boletim de segurança (4-10)
  • KB = Artigo da base de conhecimentos (2-4)
  • SS = Declaração de sustentação (0-4)
  • NN = Não é necessário (0)
 CVSS = 0
Baixa
0 < CVSS < 4
Baixa
4 ≤ CVSS < 7
Média
7 ≤ CVSS ≤ 10
Alta
Divulgação externa (CVE)* KB em caso de várias consultas, senão NN KB SB, SNS SB, SNS
Divulgação ao cliente SS SS SB, SNS SB, SNS
Divulgação interna NN Documentação nas notas de versão SB (pós-lançamento), Documento nas notas de versão SB
(pós-lançamento), Documento nas notas de versão

*Por padrão, a McAfee não emite CVEs para pontuações abaixo de 4,0.



Cenários de crise
Para vulnerabilidades de alta gravidade divulgadas ao público afetando vários produtos, um boletim de segurança pode ser publicado com um patch para um produto e ser atualizado mais tarde com outros patches e descrições para os outros produtos, quando eles estiverem disponíveis.

Boletins de segurança com vários produtos vulneráveis apresentarão uma listagem de todos os produtos, sejam eles empresariais ou voltados para o consumidor, nas seguintes categorias:

  • Vulneráveis e atualizados
  • Vulneráveis e ainda não atualizados
  • Vulneráveis mas de baixo risco (considerando-se as práticas recomendadas de distribuição padrão)
  • Não vulneráveis
  • Em investigação (opcional)

Boletins de segurança geralmente não são publicados nas tardes de sexta, exceto em cenários de crise.

Vulnerabilidade x Pontuações de risco
A McAfee participa do sistema de pontuação de vulnerabilidades padrão do setor, o CVSS. As pontuações CVSS devem ser consideradas como um ponto de partida para determinar o risco que uma vulnerabilidade específica pode representar para os clientes da McAfee. A pontuação CVSS não deve ser confundida com uma classificação de risco da gravidade das vulnerabilidades que podem ocorrer nos produtos da McAfee ou nos ambientes de tempo de execução associados que executem os produtos da McAfee.

A pontuação CVSS básica determina nossa primeira resposta a incidentes.

Os boletins de segurança podem conter listas de produtos com as seguintes designações: Vulnerável, Não vulnerável, Vulnerável mas não explorável e Vulnerável mas de baixo risco. A lista abaixo descreve o que cada uma dessas categorias significa em termos de possível impacto para o cliente:

  • Vulnerável: um produto contém uma vulnerabilidade verificada. A vulnerabilidade representa algum nível de risco para o cliente. A pontuação CVSS associada pode ser vista como um indicador da gravidade do impacto da exploração da vulnerabilidade em cenários típicos de distribuição.
  • Não vulnerável: um produto não contém a vulnerabilidade ou a presença de um componente vulnerável não pode ser explorada de nenhuma maneira. O uso do produto não apresenta riscos adicionais para o cliente.
  • Vulnerável mas não explorável: um produto contém a vulnerabilidade, talvez na forma de uma biblioteca ou de um executável incluído na imagem, mas o produto oferece controles de segurança suficientes para que a vulnerabilidade não seja exposta a agentes de ameaças, fazendo com que sua exploração seja muito difícil ou impossível. O uso do produto não apresenta riscos adicionais para o cliente.
  • Vulnerável mas de baixo risco: um produto contém a vulnerabilidade, talvez na forma de uma biblioteca ou de um executável incluído na imagem do software, mas o impacto da exploração é irrelevante e sua exploração não oferece valor adicional ao atacante. O uso do produto provavelmente apresenta um risco adicional pequeno para clientes que o usem em cenários de distribuição típicos e recomendados.