Atualizações de vulnerabilidade de segurança Spectre e Meltdown
O que são Spectre e Meltdown?
Spectre e Meltdown são vulnerabilidades que podem ser exploradas como ataques de canal lateral de execução especulativa executados por malware. Não há explorações ativas conhecidas de qualquer Spectre ou Meltdown.
- Spectre rouba dados da memória de outros aplicativos em execução em uma máquina. Ele afeta quase todos os processadores modernos-incluindo os da AMD, ARM e Intel.
- Meltdown permite a leitura de memória protegida. Ele pode ser facilmente corrigido por atualizações do sistema operacional e parece ser limitado a chips Intel.
Quais produtos são afetados?
Por favor, Verifique nossa página de informações adicionais para produtos impactados e um cronograma de lançamentos de patches.
A página continuará a ser atualizada à medida que as datas de lançamento do patch forem estabelecidas.
O que a zebra recomenda que eu faça?
A zebra incentiva os clientes a desenvolverem e manterem um programa regular de manutenção de software. A zebra está trabalhando ativamente com os fornecedores do sistema operacional e do processador para fornecer remediação em tempo hábil.
Os dispositivos zebra capazes de executar o código do aplicativo devem ser bloqueados para impedir o carregamento de um aplicativo mal-intencionado que possa tentar explorar as vulnerabilidades. Impactos de código mal-intencionado utilizando Spectre ou Meltdown podem ser atenuados apenas carregando código de aplicativo de fontes confiáveis. Não há relatos de qualquer reprodução bem-sucedida dessas vulnerabilidades, levando a um problema de segurança no ARM ou em dispositivos Android baseados em Intel.
- produtos baseados em Android com um nível de patch de segurança 2018-01-05 serão atualizados para as mitigações restantes do CVE-2017-13218 conforme necessário para a conformidade com o nível de patch de segurança 2018-03-05. Os dispositivos de computação móvel da zebra podem ser protegidos através de uma configuração bloqueada ou usando o Enterprise Home Screen para limitar quais aplicativos podem ser iniciados. zebra agenda de atualização do dispositivo Android .
- produtos baseados na Microsoft no suporte da Microsoft serão actualizados pela Microsoft. Os sistemas operacionais Windows CE e Windows Mobile estão investigação. Consulte página Spectre/Meltdown da Microsoft para obter mais informações.
- os produtos Printer potencialmente afetados pela vulnerabilidade do Spectre são limitados aos ZT510, ZT610 e ZT620 . Todos os outros produtos de impressora atualmente implantados usam um núcleo de processador que não é afetado pelo Spectre. Enquanto o ZT510, o ZT610 e o ZT620 são potencialmente afetados pelo Spectre, eles não são diretamente afetados, pois a impressora só pode executar o código de autoria da zebra. Impressoras zebra não são suscetíveis a Meltdown.
- os dispositivos de cliente zebra OneCare Premier (Managed Service) elegíveis para upgrades podem ser agendados como parte dos direitos de gestão de lançamentos contratados pelos clientes. Os serviços fornecidos pela Zebra empregando a infraestrutura de nuvem estão sendo atualizados à medida que os patches ficam disponíveis.
Referência não
01-0118-01
Data de lançamento da vulnerabilidade
03-Jan-2018
Variant 1 -CVE-2017-5753, Spectre: bypass de verificação de limites
Variant 2 -CVE-2017-5715, Spectre: injeção de alvo de ramificação
Variant 3 -CVE-2017-5754, Meltdown: carga de cache de dados desonestos, verificação de permissão de acesso à memória executada após a leitura da memória do kernel
CVE-2017-13218 é uma atenuação de caso geral para ataques de canal lateral que também aborda esse problema.
Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.
Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.
Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?