Schwachstellen bei der mikroarchitektonischen Datenerfassung
Weitere Informationen finden Sie unter:
Zebra ist sich keiner aktiven Ausnutzung dieser Schwachstelle bewusst. Wir empfehlen jedoch betroffenen Kunden, die Software für die beiden betroffenen Zebra-Produkte zu aktualisieren, um das Risiko der Missbräuche zu minimieren. Es wird keine zusätzlichen Updates für LifeGuard geben.
Zebra nimmt Sicherheit ernst und empfiehlt Kunden, auf die neueste BSP zu aktualisieren und monatliche Patches zu akzeptieren, um Sicherheitsrisiken zu minimieren.
Updates werden auf der Support-Seite jedes Geräts bekannt gemacht, sobald sie herausgegeben werden.
Mikroarchitektonische Datenerfassung (MDS) ist ein Name für eine Sammlung von Schwachstellen, die mit Hilfe von temporären Puffern zur Datenspeicherung ausgenutzt werden könnten. Diese Schwachstellen sind:
Microarchitektonische Speicherpufferdatenabtastung (MSBDS, CVE-2018-12126), auch bekannt als Fallout
Microarchitektonische Load-Port-Datenabtastung (MLPDS, CVE-2018-12127), auch bekannt als Rogue In-Flight Data Load (RIDL)
Mikroarchitektonische Füllpufferdatenabtastung (MFBDS, CVE-2018-12130), auch bekannt als Zombieload (und RIDL)
Mikroarchitektonische Datenabtastung nicht zwischenspeicherbarer Speicher (MDSUM, CVE-2018-11091)
Intels Sicherheitssoftware-Anleitung zeigt an, dass spekulative ausführungsseitige Channelangriffe verwendet werden können, um Daten freizulegen:
MDS kann einem böswilligen Benutzer, der den Code lokal auf einem System ausführen kann, erlauben, die Werte geschützter Daten abzuleiten, die sonst durch Architekturmechanismen geschützt sind. Obwohl es schwierig sein kann, bestimmte Daten auf einem System mit diesen Methoden zu erfassen, können böswillige Teilnehmer durch die Erfassung und Analyse großer Datenmengen geschützte Daten ableiten.
Zebra ermutigt seine Kunden, ein regelmäßiges Softwarewartungsprogramm zu entwickeln und zu warten. Zebra arbeitet aktiv mit Anbietern von Betriebssystemen und Prozessoren zusammen, um eine rechtzeitige Behebung zu ermöglichen.
Es gibt keine Berichte über eine erfolgreiche Reproduktion dieser Schwachstellen, die zu einem Sicherheitsproblem auf Intel-basierten Android-Geräten führt.
Betroffene Zebra-Produkte
Diese Schwachstellen betreffen möglicherweise nur Zebra-Tablets und einen fahrzeugmontierten mobilen Computer (VC80x). Es sind keine weiteren Zebra-Produkte betroffen.
Die folgenden Produkte müssen wegen dieser Schwachstellen aktualisiert werden:
Aktive Produkte
Nicht mehr vertriebene Produkte
Haftungsausschluss: Zebra unternimmt jeden Versuch, Sicherheitsupdates zum gleichen oder annähernd gleichen Zeitpunkt wie die entsprechenden öffentlichen Sicherheitsbulletins von Google zu veröffentlichen. Wann die Sicherheitsupdates bereitgestellt werden, kann jedoch je nach Region, Produktmodell und Software-Drittanbieter variieren. Unter bestimmten Umständen muss das Betriebssystem vor der Installation der Sicherheitsupdates auf die neueste Wartungsversion aktualisiert werden. Für individuelle Produktaktualisierungen gelten spezifische Anleitungen.
Sofern nicht anders angegeben, gibt es keine Berichte über aktive schädliche Nutzung oder Missbrauch dieser neu gemeldeten Probleme.
Sind Sie sich eines möglichen Sicherheitsproblems bei einem Produkt von Zebra Technologies bewusst?