Sie haben eine Sicherheitslücke entdeckt?

Teilen Sie Ihre Erfahrung mit uns.

Sicherheitslücke in ESET Produkten oder auf unseren Webseiten gefunden?

Sie haben eine mögliche Sicherheitslücke entdeckt? Melden Sie uns diese vertraulich unter security@eset.com.

Kontaktieren Sie uns
Bevor Sie Ihren Bericht einreichen, lesen Sie bitte die Report Policy sowie den Out‑of‑Scope‑Bereich. Jede Meldung erhält innerhalb von drei Werktagen ein erstes Update. Eine automatische Bestätigung wird versendet, sobald der Bericht erfolgreich im System erfasst wurde und auf Rückmeldung eines Sicherheitsspezialisten wartet. Unser Ziel ist es, bestätigte Schwachstellen innerhalb von 90 Tagen zu beheben. Für bestätigte und behobene Meldungen gibt es ein kleines Dankeschön.

Bitte beachten Sie, dass wir aufgrund des Inhalts Ihres Berichts keine Ermittlungen durch Strafverfolgungsbehörden einleiten und keine rechtlichen Schritte gegen Sie ergreifen werden.

Umgang mit sensiblen und personenbezogenen Informationen

Versuchen Sie niemals, persönliche oder sensible Daten zu öffnen oder zu nutzen. Falls Sie während Ihrer Sicherheitsrecherche dennoch auf solche Informationen stoßen, beachten Sie bitte:

- Beenden Sie sofort alle Untersuchungen oder Aktivitäten, die persönliche Daten einschließen.

- Speichern, kopieren, offenlegen, übertragen oder nutzen Sie persönliche oder sensible Daten in keiner Form.

- Informieren Sie uns umgehend und unterstützen Sie uns bei der Eindämmung des Vorfalls.

Schwachstellen außerhalb unserer Zuständigkeit

Web-Anwendungen

  • Berichte aus automatisierten Tools oder Scans
  • Denial‑of‑Service‑Angriffe
  • Man‑in‑the‑Middle‑Angriffe
  • Angriffe, die physischen Zugriff auf ein Gerät des Nutzers erfordern
  • Hypothetische Risiken ohne tatsächliche oder relevante Auswirkung
  • Öffentlich zugängliche Login‑Seiten ohne konkreten Exploit‑Nachweis
  • Erkenntnisse, die hauptsächlich auf Social Engineering beruhen (z. B. Phishing, Vishing, Smishing) sowie andere nicht‑technische Angriffe
  • Informationen mit rein informativem Charakter oder geringem/keinem Schweregrad
  • Spam
  • Clickjacking und Schwachstellen, die ausschließlich über Clickjacking ausgenutzt werden können
  • Fingerprinting oder Banner‑Informationen von öffentlichen Diensten
  • Fehlkonfigurationen der Mail‑Infrastruktur (SPF, DKIM, DMARC)
  • Beschreibende Fehlermeldungen (z. B. Stack Traces, Anwendungs‑ oder Serverfehler)
  • HTTP‑404‑Fehlerseiten oder andere HTTP‑Non‑200‑Codes/Seiten
  • Offenlegung von bekannten öffentlichen oder nicht‑sensiblen Dateien/Verzeichnissen (z. B. robots.txt, crossdomain.xml oder andere Richtliniendateien; Wildcard‑Präsenz/Fehlkonfiguration ohne Risiko)
  • Aktivierte, aber nicht relevante nicht‑standardisierte HTTP‑Methoden
  • Fehlende Sicherheitsheader (z. B. Strict‑Transport‑Security, X‑Frame‑Options, X‑XSS‑Protection, X‑Content‑Type‑Options)
  • Fehlende Secure/HTTP‑Only/SameSite‑Flags bei nicht‑sensiblen Cookies
  • Offene Weiterleitungen, die nicht genutzt werden können, um sensible Daten zu exfiltrieren (z. B. Session Cookies, OAuth‑Tokens)
  • Management‑Probleme mit mehreren gleichzeitig aktiven Sitzungen
  • Host‑Header‑Injection‑Angriffe
  • Self‑XSS und andere Schwachstellen, die ausschließlich durch Self‑XSS angreifbar sind
  • CSRF auf Formularen, die für anonyme Nutzer vorgesehen sind (z. B. Kontaktformulare)
  • CSRF beim Logout
  • Vorhandensein von Autofill‑ oder „Passwort speichern“‑Funktionen des Browsers
  • Schwaches Passwort auf der „Passwort vergessen“- oder Konto‑Lockout‑Seite ohne Impact
  • Benutzername/E‑Mail‑Enumeration ohne weiteren Impact
  • Rate‑Limiting‑Probleme ohne Sicherheitsrelevanz
  • CAPTCHA‑ oder Captcha‑Bypass‑Probleme
  • Verwendung einer bekannten verwundbaren Bibliothek ohne spezifischen Exploit‑Nachweis
  • SSL‑Themen ohne Relevanz (z. B. schwache/unsichere Cipher, BEAST, BREACH, Renegotiation usw.)

Produktschwachstellen

  • Probleme, die durch das Hinzufügen einer Erkennungssignatur abgedeckt werden können
  • DLL‑Injection
  • DLL‑Hijacking
  • Kein SSL auf Update‑/Download‑Servern
  • Lokale Umgehungen der AV‑Engine
  • Tapjacking
  • Bekannte Schwachstellen in Komponenten von Drittanbietern

Wie Sie uns über eine Schwachstelle informieren

  • Kontaktieren Sie uns unter security@eset.com
  • Berichte und alle zugehörigen Materialien werden mit einem PGP‑Public Key verschlüsselt.
  • Bitte geben Sie den Namen Ihrer Organisation sowie Ihre Kontaktdaten an.
  • Formulieren Sie eine klare Beschreibung der potenziellen Schwachstelle.
  • Fügen Sie alle Informationen bei, die für die Validierung der gemeldeten Schwachstelle erforderlich sind
  • Geben Sie die ESET‑Produkt- und Modulversion an (weitere Informationen zur Bestimmt der Produktversion und Modulversion finden Sie hier), sofern Ihre Meldung ein Produkt betrifft.
  • Produktbezogene Meldungen sollten – sofern anwendbar – ein Logfile aus ESET SysInspector enthalten.
  • Proof of Concept – Bitte stellen Sie eine möglichst detaillierte Beschreibung bereit, ggf. inklusive Screenshots oder Videos (bitte beim Upload in Streaming‑Diensten privat stellen).
  • Vorschläge zur Behebung der Schwachstelle sind sehr willkommen.
  • Geben Sie an, welchen Impact Sie für die Nutzer, ESET‑Mitarbeitenden oder andere Personen erwarten.
  • Bitte behandeln Sie jede Kommunikation im Zusammenhang mit der Meldung vertraulich.
  • Informieren Sie uns über etwaige Disclosure‑Pläne und koordinieren Sie diese mit uns.
  • Berichte müssen in englischer Sprache verfasst sein.

Bitte beachten Sie, dass Berichte abgelehnt werden können, wenn sie:

  • den Kriterien des Abschnitts „Out of Scope“ entsprechen,
  • nicht unserer Report Policy folgen,
  • ein Duplikat sind (in solchen Fällen wird nur der ursprüngliche Bericht berücksichtigt).

Sie werden über alle Aktualisierungen im Prozess der Behebung oder Risikominderung informiert.

ESET vertritt und praktiziert den Prozess der verantwortungsvollen Offenlegung und bedankt sich öffentlich bei den Findern von Sicherheitslücken für Ihre Bemühungen, sofern diese nicht anonym bleiben möchten.

VIELEN DANK.