Sicherheit ist kein Zustand, sondern ein Prozess.
Deshalb haben Sie die Möglichkeit, uns jederzeit über Sicherheitslücken bei ESET-Produkten oder -Ressourcen zu informieren.
Schreiben Sie uns einfach eine E-Mail an security@eset.com.
Wie Sie uns über eine Schwachstelle informieren
Jede Meldung hat für uns hohe Priorität. Aus diesem Grund untersuchen wir die Fälle so schnell wie möglich – im direkten Austausch mit dem Sender. Bitte senden Sie uns alle Meldungen auf Englisch per E-Mail an security@eset.com und geben Sie die folgenden Informationen an:
- Ziel – anhand der IP-Adresse identifizierter ESET-Server, Hostname, URL usw. oder das ESET-Produkt, einschließlich Versionsnummer (zur Ermittlung der Versionsnummer besuchen Sie unsere KnowledgeBase to determine the version number)
- Art des Problems – die Art der Schwachstelle (z.B. laut OWASP, wie etwa Cross-Site-Scripting, Pufferüberlauf, SQL-Injection usw.), einschließlich einer generellen Beschreibung der Schwachstelle.
- Proof-of-Concept und/oder URL zur Demonstration der Schwachstelle – eine Vorführung der Schwachstelle, die ihre Funktionalität zeigt. Beispiele beinhalten:
● Die Payload enthaltende URL – z.B. XSS in GET-Anfrageparametern – e.g. XSS in GET request parameters
● Link zum generellen Checker – z.B. SSL-Schwachstellen – e.g. SSL vulnerabilities
● Video – allgemein nutzbar (beim Hochladen in einem Streaming-Service, bitte als privat markieren)
● Gegebenenfalls Logdatei von ESET SysInspector (hier erfahren Sie, wie Sie einen ESET SysInspector Log erstellen) oder Microsoft Problem Step Recorder
● Bitte beschreiben Sie das Problem so genau wie möglich und senden Sie uns eine Kombination aus den zuvor genannten Informationen.
Gerne können Sie uns auch Ihren Vorschlag zur Behebung der Schwachstelle mitteilen.
Zur Verschlüsselung Ihrer E-Mail-Kommunikation mit uns,nutzen Sie bitte unseren PGP public key:
Schwachstellen außerhalb unserer Zuständigkeit
Web-Anwendungen
- Beschreibende Fehlermeldung (z.B. Stacktraces, Andwendungs- oder Serverfehler)
- HTTP-Statuscode 404 oder andere HTTP-Statuscodes, die nicht 200 entsprechen
- Fingerprinting / Banner-Disclosure bei gängigen/öffentlichen Diensten
- Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z.B. robots.txt)
- Clickjacking und Probleme, die nur durch Clickjacking ausgenutzt werden können
- CSRF bei Formularen, die für anonyme Nutzer verfügbar sind (z.B. das Kontaktformular)
- Cross-Site-Request-Forgery beim Logout (Logout CSRF)
- Vorhandene Funktionen für Autovervollständigung oder "Passwort speichern" bei Anwendungen oder Webbrowsern
- Fehlen von sicheren/HttpOnly-Attributen bei nicht-sensiblen Cookies
- Fehlen von Sicherheitsmechanismen beim Verlassen der Seite
- Schwaches Captcha / Captcha Bypass
- Brute-Force auf Passwort-Vergessen-Seite und kein automatisches Konto-Logout
- OPTIONS HTTP Methode aktiviert
- Benutzername- / E-Mail-Ermittlung
● über Fehlermeldung auf Login-Seite
● über Fehlermeldung "Passwort vergessen" - Fehlende HTTP-Security-Header, insbesondere z.B.: www.owasp.org/index.php/List_of_useful_HTTP_headers
● Strict Transport Security
● X-Frame-Options
● X-XSS-Protection
● X-Content-Type-Options
● Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
● Content-Security-Policy-Report-Only - SSL-Probleme, z.B.
● SSL-Angriffe wie BEAST, BREACH, Renegotiation-Attacke
● SSL Forward Secrecy nicht aktiviert
● SSL schwache / unsichere Cipher Suites - Banner-Disclosure bei gängigen/öffentlichen Diensten
- Self-XSS und Probleme, die nur durch Self-XSS ausgenutzt werden können
- Funde, die vorrangig auf Social Engineering zurückzuführen sind (z.B. Phishing, Vishing, Smishing)
Produkt-Schwachstellen
- DLL-Injection im ESET-Installer
- Kein SSL bei Update/Download Servern
- Tapjacking
ESET vertritt und praktiziert den Responsible Dislclosure Prozess und bedankt sich öffentlich bei den Findern von Sicherheitslücken für Ihre Bemühungen, sofern sie nicht anonym bleiben möchten.
VIELEN DANK.
ESET