Sicherheitsschwachstellenupdate für Spectre und Meltdown

Was sind Spectre und Meltdown?

Spectre und Meltdown sind Schwachstellen, die als spekulative Nebenangriffe von Malware ausgenutzt werden können. Es sind keine aktiven Ausnutzungen von Spectre oder Meltdown bekannt.

  • Spectre stiehlt Daten aus dem Speicher anderer Anwendungen, die auf einer Maschine laufen. Es betrifft fast alle modernen Prozessoren - auch die von AMD, ARM und Intel.

  • Meltdown ermöglicht das Lesen von geschütztem Speicher. Es kann durch Betriebssystemupdates leicht behoben werden und scheint auf Intel-Chips beschränkt zu sein.
Welche Produkte sind betroffen?

Bitte informieren Sie sich auf unserer Zusatzinformationsseite über die betroffenen Produkte und einen Zeitplan für die Veröffentlichung von Patches.

Die Seite wird weiterhin aktualisiert, wenn die Veröffentlichungstermine der Patches festgelegt werden.

Welche Vorgehensweise empfiehlt Zebra?

Zebra ermutigt seine Kunden, ein regelmäßiges Softwarewartungsprogramm zu entwickeln und zu warten. Zebra arbeitet aktiv mit Anbietern von Betriebssystemen und Prozessoren zusammen, um eine rechtzeitige Behebung zu ermöglichen.

Geräte von Zebra, die in der Lage sind, Anwendungscode auszuführen, sollten gesperrt werden, um das Laden einer bösartigen Anwendung zu verhindern, die versuchen könnte, die Schwachstellen auszunutzen. Auswirkungen von bösartigem Code, der entweder Spectre oder Meltdown verwendet, können reduziert werden, indem nur Anwendungscode aus vertrauenswürdigen Quellen geladen wird. Es gibt keine Berichte über eine erfolgreiche Reproduktion dieser Schwachstellen, die zu einem Sicherheitsproblem auf ARM- oder Intel-basierten Android-Geräten führt.

  • Android-basierte Produkte mit einem 2018-01-05-Sicherheitspatch-Level werden für die verbleibenden Minderungen von CVE-2017-13218 aktualisiert, wie es für die Einhaltung des Sicherheitspatch-Levels 2018-03-05 erforderlich ist. Mobile Computergeräte von Zebra können durch eine abgesicherte Konfiguration oder durch die Verwendung des Enterprise Home Screen geschützt werden, um die Anzahl der Anwendungen, die gestartet werden können, einzuschränken. Updatezeitplan für Androidgeräte von Zebra.

  • Microsoft-basierte Produkte unter Microsoft-Support werden von Microsoft aktualisiert. Die Betriebssysteme Windows CE und Windows Mobile werden derzeit untersucht. Siehe Spectre/Meltdown Microsoft für weitere Informationen.

  • Druckerprodukte, die möglicherweise von der Spectre-Schwachstelle betroffen sind, sind nur ZT510, ZT610 und ZT620. Alle anderen derzeit eingesetzten Druckerprodukte verwenden einen Prozessorkern, der nicht von Spectre betroffen ist. Während die ZT510, ZT610 und ZT620 möglicherweise von Spectre betroffen sind, sind sie nicht direkt betroffen, da der Drucker nur Zebra-konformen Code ausführen kann. Drucker von Zebra sind nicht anfällig für Meltdown.

  • Kundengeräte von Zebra OneCare Premier (Managed Service), die für Upgrades in Frage kommen, können als Teil der vertraglich vereinbarten Release-Management-Berechtigung geplant werden. Von Zebra angebotene Dienste mit Cloud-Infrastruktur werden aktualisiert, sobald Patches verfügbar werden.

 

Referenznummer
01-0118-01

Veröffentlichungsdatum der Schwachstelle
03-Jan-2018

  • Variante 1 - CVE-2017-5753, Spectre: Bounds prüfen Bypass

  • Variante 2 - CVE-2017-5715, Spectre: Branch Target Injection

  • Variante 3 - CVE-2017-5754, Meltdown: Rogue-Daten-Cache-Auslastung, Überprüfung der Speicherzugriffsberechtigung nach dem Lesen des Kernel-Speichers

  • CVE-2017-13218 ist eine allgemeine Fallminderung für Seitenkanalangriffe, die auch dieses Problem angeht.

Haftungsausschluss: Zebra unternimmt jeden Versuch, Sicherheitsupdates zum gleichen oder annähernd gleichen Zeitpunkt wie die entsprechenden öffentlichen Sicherheitsbulletins von Google zu veröffentlichen. Wann die Sicherheitsupdates bereitgestellt werden, kann jedoch je nach Region, Produktmodell und Software-Drittanbieter variieren. Unter bestimmten Umständen muss das Betriebssystem vor der Installation der Sicherheitsupdates auf die neueste Wartungsversion aktualisiert werden. Für individuelle Produktaktualisierungen gelten spezifische Anleitungen.

Sofern nicht anders angegeben, gibt es keine Berichte über aktive schädliche Nutzung oder Missbrauch dieser neu gemeldeten Probleme.



Sind Sie sich eines möglichen Sicherheitsproblems bei einem Produkt von Zebra Technologies bewusst?