SIE HABEN EINE
SICHERHEITSLÜCKE ENTDECKT?

Teilen Sie Ihre Erfahrung mit uns.

Sicherheit ist kein Zustand, sondern ein Prozess. Deshalb haben Sie die Möglichkeit, uns jederzeit über Sicherheitslücken bei ESET-Produkten oder -Ressourcen zu informieren. Schreiben Sie uns einfach eine E-Mail an security@eset.com.

Wie Sie uns über eine Schwachstelle informieren

Jede Meldung hat für uns hohe Priorität. Aus diesem Grund untersuchen wir die Fälle so schnell wie möglich – im direkten Austausch mit dem Sender. Bitte senden Sie uns alle Meldungen auf Englisch per E-Mail an security@eset.com und geben Sie die folgenden Informationen an:

  • Ziel – anhand der IP-Adresse identifizierter ESET-Server, Hostname, URL usw. oder das ESET-Produkt, einschließlich Versionsnummer (zur Ermittlung der Versionsnummer besuchen Sie unsere KnowledgeBase).
  • Art des Problems – die Art der Schwachstelle (z.B. laut OWASP, wie etwa Cross-Site-Scripting, Pufferüberlauf, SQL-Injection usw.), einschließlich einer generellen Beschreibung der Schwachstelle.
  • Proof-of-Concept und/oder URL zur Demonstration der Schwachstelle – eine Vorführung der Schwachstelle, die ihre Funktionalität zeigt. Beispiele beinhalten:
  • Gerne können Sie uns auch Ihren Vorschlag zur Behebung der Schwachstelle mitteilen.

Zur Verschlüsselung Ihrer E-Mail-Kommunikation mit uns,nutzen Sie bitte unseren PGP Public Key.

 

Schwachstellen außerhalb unserer Zuständigkeit

 

Web-Anwendungen

  • Beschreibende Fehlermeldung (z.B. Stacktraces, Andwendungs- oder Serverfehler)
  • HTTP-Statuscode 404 oder andere HTTP-Statuscodes, die nicht 200 entsprechen
  • Fingerprinting / Banner-Disclosure bei gängigen/öffentlichen Diensten
  • Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z.B. robots.txt)
  • Clickjacking und Probleme, die nur durch Clickjacking ausgenutzt werden können
  • CSRF bei Formularen, die für anonyme Nutzer verfügbar sind (z.B. das Kontaktformular)
  • Cross-Site-Request-Forgery beim Logout (Logout CSRF)
  • Vorhandene Funktionen für Autovervollständigung oder "Passwort speichern" bei Anwendungen oder Webbrowsern
  • Fehlen von sicheren/HttpOnly-Attributen bei nicht-sensiblen Cookies
  • Fehlen von Sicherheitsmechanismen beim Verlassen der Seite
  • Schwaches Captcha / Captcha Bypass
  • Brute-Force auf Passwort-Vergessen-Seite und kein automatisches Konto-Logout
  • OPTIONS HTTP Methode aktiviert
  • Benutzername- / E-Mail-Ermittlung
    • über Fehlermeldung auf Login-Seite
    • über Fehlermeldung "Passwort vergessen"
  • Fehlende HTTP-Security-Header, insbesondere z.B.: https://www.owasp.org/index.php/List_of_useful_HTTP_headers
    • Strict Transport Security
    • X-Frame-Options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content Security Policy, X-Content-Security-Policy, X-WebKit-CSP
    • Content-Security-Policy-Report-Only
  • SSL-Probleme, z.B.
    • SSL-Angriffe wie BEAST, BREACH, Renegotiation-Attacke
    • SSL Forward Secrecy nicht aktiviert
    • SSL schwache / unsichere Cipher Suites
  • Banner-Disclosure bei gängigen/öffentlichen Diensten
  • Self-XSS und Probleme, die nur durch Self-XSS ausgenutzt werden können
  • Funde, die vorrangig auf Social Engineering zurückzuführen sind (z.B. Phishing, Vishing, Smishing)

Produkt-Schwachstellen

  • DLL-Injection im ESET-Installer
  • Kein SSL bei Update/Download Servern
  • Tapjacking

ESET vertritt und praktiziert den Responsible Dislclosure Prozess und bedankt sich öffentlich bei den Findern von Sicherheitslücken für Ihre Bemühungen, sofern sie nicht anonym bleiben möchten.

VIELEN DANK.
ESET