Mögliche Schwachstellen in der Produktsicherheit melden

Bei TI legen wir großen Wert auf die Sicherheit unserer Produkte. Wie wir alle wissen, kann jedoch kein Produkt oder Kundensystem 100 % sicher sein, unabhängig davon, wie viel Aufwand in die Produktsicherheit investiert wird. TI möchte über alle potenziellen Sicherheitsprobleme informiert werden, die sich auf unsere Produkte auswirken. So können wir die notwendigen Schritte unternehmen, um diese umgehend zu beheben. Das Reaktionsteam für Produktsicherheitsvorfälle (PSIRT; Product Security Incident Response Team) von TI überwacht den Prozess der Entgegennahme von und der Reaktion auf Berichte über potenzielle Sicherheitsschwachstellen bei TI-Halbleiterprodukten, einschließlich der Bereiche Hardware, Software und Dokumentation.

Sie können sich an das TI PSIRT-Team wenden, um eine mögliche Sicherheitslücke zu melden: psirt@ti.com. Ihr Bericht sollte auf Englisch verfasst sein. TI antwortet umgehend, um den Erhalt Ihrer E-Mail zu bestätigen. 

Schwachstelleninformationen sind äußerst sensibel. Der TI PSIRT empfiehlt dringend, alle eingereichten Berichte über Sicherheitsrisiken mit dem TI PSIRT PGP/GPG-Schlüssel verschlüsselt zu senden:

• Fingerabdruck: 898C ECC3 451F 9438 D972  06B6 4C13 1A0F 9AF0 04D8
• Öffentliche Schlüsseldatei (ZIP, 3 KB)

Kostenlose Software zum Lesen und Erstellen von mit PGP/GPG verschlüsselten Nachrichten erhalten Sie unter:

• Gpg4win
• GnuPG

Um dem TI PSIRT zu helfen, die potenzielle Sicherheitsrisikobewertung durchzuführen, wird empfohlen, die folgenden Informationen anzugeben:

• Die von dem Sicherheitsrisiko potenziell betroffenen Hardware- oder Softwareprodukte von TI (einschließlich Version oder Revision)
• Wie und wann die potenzielle Schwachstelle entdeckt wurde, und von wem
• Technische Beschreibung der potenziellen Sicherheitslücke, einschließlich aller zugehörigen (1) bekannten Exploits und (2) vorhandener CVE-ID(s)
• Ihre Kontaktinformationen, für eventuelle Rück- und Folgefragen

Nach der Einreichung folgt TI diesem Prozess zur Bewertung und Behebung der potenziellen Sicherheitsschwachstelle:

1. Benachrichtigung: TI wird auf eine mögliche Sicherheitslücke/Schwachstelle aufmerksam.
2. Erste Überprüfung: TI überprüft die Einreichung, um festzustellen, ob ein TI-Produkt betroffen sein könnte und ob ausreichende Informationen zur Verfügung gestellt wurden.
3. Technische Analyse: TI untersucht die gemeldete potenzielle Schwachstelle   eingehender.^[1]
4. Abhilfe: TI ergreift geeignete Maßnahmen, um die Schwachstelle der Produktsicherheit zu überprüfen.
5. Offenlegung: Sofern angebracht, legt TI – beispielsweise im Rahmen eines Sicherheitshinweises oder Bulletins – Informationen über die festgestellte Schwachstelle und die Maßnahmen zur Behebung offen.

^{[1] TI bewertet die Schwachstelle nach dem CVSS (Common Vulnerability Scoring System) v3.0, sodass die Schwachstelle für die Analyse und Behebung richtig priorisiert wird. Eine CVE (Common Vulnerabilities and Exposures) ID (ID für häufig auftretende Schwachstellen und Risiken) für die Schwachstelle kann bei Bedarf erstellt werden.} 

Wie die meisten Technologieunternehmen folgt auch TI PSIRT der Richtlinie für den verantwortungsvollen Umgang mit Sicherheitsrisiken. Unsere Richtlinie beschreibt, was Sie von TI erwarten können und was wir im Gegenzug Ihnen erwarten. Sie basiert auf dem von CERT® herausgegebenem Leitfaden zur koordinierten Offenlegung von Schwachstellen. Bevor Sie einen Bericht einreichen, lesen Sie unsere Richtlinie, denn sie beschreibt die Grundlage unserer Beziehung zu Ihnen.

Nachfolgend finden Sie öffentlich zugängliche Informationen zu Sicherheitslücken und unseren verfügbaren Lösungsmethoden.

Medienanfragen zur Sicherheit von TI-Produkten können an news.ti.com gerichtet werden.