Vulnérabilités d'échantillonnage de données microarchitecturales
Pour plus d'informations, veuillez consulter :
Zebra n'est pas au courant des exploits actifs de cette vulnérabilité. Cependant, nous recommandons aux clients concernés de mettre à jour le logiciel pour les deux produits Zebra touchés afin d'atténuer le risque d'exploitation. Aucune mise à jour LifeGuard supplémentaire ne sera effectuée.
Zebra prend la sécurité au sérieux et recommande aux clients de mettre à jour le dernier BSP et d'accepter les correctifs mensuels pour minimiser les risques de sécurité.
Les mises à jour seront affichées sur chaque page de support de l'appareil au fur et à mesure de leur publication.
Microarchitecture Data Sampling (MDS) est un nom donné à une collection de vulnérabilités qui pourraient potentiellement être exploitées à l'aide des tampons temporaires utilisés pour contenir des données. Ces vulnérabilités comprennent :
Échantillonnage de données tampons de magasin microarchitectural (MSBDS, CVE-2018-12126), alias Fallout
Échantillonnage des données des ports de charge microarchitecturale (MLPDS, CVE-2018-12127), alias Rogue In-Flight Data Load (RIDL)
Échantillonnage des données tampons de remplissage microarchitectural (MFBDS, CVE-2018-12130), alias Zombieload (et RIDL)
Mémoire non cacheable d'échantillonnage de données microarchitecturales (MDSUM, CVE-2018-11091)
Intel’s Security Software Guidance indique que des méthodes spéculatives de canal latéral d’exécution peuvent être utilisées pour exposer les données :
MDS peut permettre à un utilisateur malveillant qui peut exécuter localement du code sur un système d'inférer les valeurs des données protégées autrement protégées par des mécanismes architecturaux. Bien qu'il puisse être difficile de cibler des données particulières sur un système utilisant ces méthodes, les acteurs malveillants peuvent être en mesure d'inférer des données protégées en recueillant et en analysant de grandes quantités de données.
Zebra encourage ses clients à développer et à maintenir un programme régulier de maintenance logicielle. Zebra travaille activement avec les fournisseurs de systèmes d'exploitation et de processeurs pour fournir des mesures correctives en temps opportun.
Il n'y a aucun rapport d'une reproduction réussie de ces vulnérabilités conduisant à un problème de sécurité sur les appareils Android basés sur Intel.
Produits Zebra affectés
Ces vulnérabilités n'ont potentiellement un impact que comprimés Zebra et un ordinateur mobile monté sur un véhicule (VC80x). Aucun autre produit Zebra n'est concerné.
Les produits suivants nécessiteront des mises à jour en raison de ces vulnérabilités :
Produits actifs
Produits abandonnés
Avertissement: Zebra fait toutes les tentatives pour libérer des mises à jour de sécurité sur ou à peu près le moment où Google publie son bulletin de sécurité respectif. Toutefois, le délai de livraison des mises à jour de sécurité peut varier selon la région, le modèle de produit et les fournisseurs de logiciels tiers. Dans certaines circonstances, le système d'exploitation doit être mis à jour à la dernière version de maintenance avant d'installer les mises à jour de sécurité. Les mises à jour individuelles des produits fourniront des conseils spécifiques.
Sauf indication contraire, il n'y a eu aucun rapport d'exploitation active des clients ou d'abus de ces problèmes nouvellement signalés.
Connaissez-vous un problème de sécurité potentiel avec un produit Zebra Technologies ?