Vulnerabilidades de muestreo de datos microarquitectónicos
Para obtener más información, consulte:
Zebra no es consciente de ningún exploit activo de esta vulnerabilidad. Sin embargo, recomendamos a los clientes interesados actualizar el software de los dos productos Zebra afectados para mitigar el riesgo de explotación. No se realizarán actualizaciones adicionales de LifeGuard.
Zebra se toma en serio la seguridad y recomienda que los clientes actualicen a la última Versión BSP y acepten parches mensuales para minimizar los riesgos de seguridad.
Las actualizaciones se publicarán en cada página de soporte técnico del dispositivo a medida que se publiquen.
Muestreo de datos de microarquitectura (MDS) es un nombre dado a una colección de vulnerabilidades que podrían explotarse potencialmente utilizando los búferes temporales utilizados para contener datos. Estas vulnerabilidades incluyen:
Muestreo de datos de búfer de almacén microarquitectónico (MSBDS, CVE-2018-12126), también conocido como Fallout
Muestreo de datos de puerto de carga microarquitectónico (MLPDS, CVE-2018-12127), también conocido como La carga de datos en vuelo (RIDL) de La
Muestreo de datos de búfer de relleno microarquitectónico (MFBDS, CVE-2018-12130), también conocido como Zombieload (y RIDL)
Memoria no caché de muestreo de datos microarquitectónicos (MDSUM, CVE-2018-11091)
La Guía de software Security de Intel indica que se pueden utilizar métodos de canal lateral de ejecución especulativa para exponer datos:
MDS puede permitir que un usuario malintencionado que puede ejecutar localmente código en un sistema infiere los valores de los datos protegidos de otro modo protegidos por mecanismos arquitectónicos. Aunque puede ser difícil orientar datos concretos en un sistema utilizando estos métodos, los actores malintencionados pueden ser capaces de inferir datos protegidos mediante la recopilación y el análisis de grandes cantidades de datos.
Zebra anima a los clientes a desarrollar y mantener un programa de mantenimiento de software regular. Zebra está trabajando activamente con proveedores de sistemas operativos y procesadores para proporcionar la corrección de manera oportuna.
No hay informes de ninguna reproducción exitosa de estas vulnerabilidades que conduzca a un problema de seguridad en los dispositivos Android basados en Intel.
Productos Zebra afectados
Estas vulnerabilidades solo pueden afectar las tabletas Zebra y un ordenador móvil montado en el vehículo (VC80x). Ningún otro producto Zebra se ve afectado.
Los siguientes productos requerirán actualizaciones como resultado de estas vulnerabilidades:
Productos activos
Productos descontinuados
Descargo de responsabilidad: Zebra realiza todos los intentos de publicar actualizaciones de seguridad en o sobre el momento en que Google publica su respectivo boletín de seguridad. Sin embargo, el tiempo de entrega de las actualizaciones de seguridad puede variar según la región, el modelo de producto y los proveedores de software de terceros. En algunas circunstancias, el sistema operativo debe actualizarse a la versión de mantenimiento más reciente antes de instalar las actualizaciones de seguridad. Las actualizaciones individuales de productos proporcionarán orientación específica.
A menos que se indique lo contrario, no ha habido informes de explotación activa del cliente o abuso de estos problemas recién reportados.
¿Conoce un posible problema de seguridad con un producto de Zebra Technologies?