Har du upptäckt en säkerhetsbrist?

Berätta för oss

Säkerhet är en process och inte ett slutmål.
Därför kan du rapportera alla typer av säkerhetsproblem som berör ESET-produkter, det är bara att skriva till security@eset.com.

Sårbarhetskategorier vi uppmuntrar


Vi behandlar alla rapporter med prioritet och utreder alla ärenden direkt med rapportören så snart som möjligt.
När du skickar en rapport ber vi dig göra det på engelska till security@eset.com och inkludera följande information:

  • Målserver – en ESET-server, identifierad via ip-adress, servernamn, url och så vidare eller ESET-produkt, inklusive versionsnummer (läs vår artikel i KnowledgeBase för att hitta rätt versionsnummer)
  • Problemtyp – sårbarhetstyp (t.ex. enligt OWASP, såsom cross-site scripting, buffer overflow, SQL-injicering o.s.v.) och inkludera en allmän beskrivning av sårbarheten.
  • Principiellt bevis och/eller en url som påvisar sårbarheten – en demonstration av sårbarheten som visar hur den fungerar. Några exempel:
    ●  URL med inlagd skript-kod – t.ex. XSS i parametrarna för en GET-förfrågan
    ●  Länk till allmän kontroll – t.ex. SSL-sårbarheter
    ●  Video – kan i allmänhet vara användbart (om den laddas upp till någon videodelningstjänst ber vi att den märks som privat)
    ●  Loggfil från ESET SysInspector (läs hur man upprättar en ESET SysInspector-logg) eller Microsoft Problemregistrering (läs hur man använder Problemregistrering) om detta är tillämpligt
    ●  Lämna en så detaljerad beskrivning som möjligt, eller skicka oss valfri kombination av ovanstående alternativ. 

I tillämpliga fall välkomnar vi eventuella rekommendationer om hur sårbarheten kan åtgärdas.

För kryptering av dina e-postmeddelanden till oss ber vi dig använda vår publika PGP-nyckel:

Sårbarheter som inte omfattas

Webbapplikationer

  • Beskrivande felmeddelanden (t.ex. spårningsdumpar, program- eller serverfel).
  • HTTP 404-koder/sidor eller andra HTTP-svarskoder/sidor som inte är 200.
  • Identifiering och presentation via banner för gemensamma eller publika tjänster.
  • Röjande av kända publika filer eller kataloger (t.ex. robots.txt).
  • Clickjacking och problem som endast kan utnyttjas via clickjacking.
  • CSRF i formulär som är tillgängliga för ej inloggade användare (t.ex. kontaktformulär).
  • Utloggning via förfalskad begäran till annan domän (logout CSRF).
  • Förekomst av program eller funktion i webbläsaren för automatisk ifyllning av lösenord eller funktion för att spara lösenord.
  • Avsaknad av flagga Secure/HTTP Only för okänsliga cookies.
  • Avsaknad av säkerhetsfördröjning när du lämnar webbplatsen.
  • Svag captcha/förbigående av captcha
  • Råstyrkeattack möjlig vid glömt lösenord och kontolåsning ej framtvingad.
  • Metoden OPTIONS HTTP aktiv
  • Uppräkning av användarnamn och/eller e-postadresser
    ●  via felmeddelande på inloggningssida
    ●  via felmeddelande på sida för glömt lösenord
  • Saknade säkerhets-header för HTTP, specifikt (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), t.ex.
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL-problem, t.ex.
    ●  SSL-attacker, såsom BEAST, BREACH, Renegotiation attack
    ●  SSL Forward secrecy inte aktiverat
    ●  SSL som använder svaga eller osäkra krypteringsalgoritmer
  • Presentation via banner för gemensamma eller publika tjänster
  • Self-XSS och problem som endast kan utnyttjas via self-XSS
  • Resultat som huvudsakligen härrör från social engineering (t.ex. phishing eller bedrägeriförsök via röstsamtal eller sms)

Sårbarheter i produkter

  • dll-injicering i ESET-installationsprogram
  • Ingen SSL på servrar för uppdateringar eller nedladdningar 
  • Clickjacking

ESET är en stark anhängare och utövare av processen för ansvarsfullt avslöjande och ger publikt erkännande till rapportörer av säkerhetsproblem för dessas insatser om de inte önskar att förbli anonyma.

TACK.

ESET