Spectre et Meltdown Sécurité Mises à jour de vulnérabilité
Qu'est-ce que Spectre et Meltdown?
Spectre et Meltdown sont des vulnérabilités qui peuvent être exploitées comme des attaques parallèles d'exécution spéculative exécutées par des logiciels malveillants. Il n'y a pas d'exploits actifs connus de Spectre ou de Meltdown.
- Spectre vole des données de la mémoire d'autres applications fonctionnant sur une machine. Il affecte presque tous les processeurs modernes - y compris ceux d'AMD, ARM et Intel.
- Meltdown permet de lire la mémoire protégée. Il peut être facilement fixé par les mises à jour OS et semble être limité aux puces Intel.
Quels produits sont touchés?
Veuillez consulter notre page d'information supplémentaire pour les produits touchés et un calendrier des versions de patch.
La page continuera d'être mise à jour au fur et à mesure que les dates de sortie du patch seront établies.
Que recommande Zebra que je fais?
Zebra encourage ses clients à développer et à maintenir un programme régulier de maintenance logicielle. Zebra travaille activement avec les fournisseurs de systèmes d'exploitation et de processeurs pour fournir des mesures correctives en temps opportun.
Les périphériques Zebra capables d'exécuter le code d'application doivent être verrouillés pour empêcher le chargement d'une application malveillante qui pourrait tenter d'exploiter les vulnérabilités. Les impacts du code malveillant utilisant Spectre ou Meltdown peuvent être atténués en ne chargeant que le code d'application à partir de sources fiables. Il n'y a aucun rapport d'une reproduction réussie de ces vulnérabilités conduisant à un problème de sécurité sur les appareils Android basés sur ARM ou Intel.
- produits basés sur Android avec un niveau de patch de sécurité 2018-01-05 seront mis à jour pour les dernières atténuations de CVE-2017-13218, comme requis pour la conformité au niveau de correction de sécurité 2018-03-05. Les appareils informatiques mobiles Zebra peuvent être protégés par une configuration verrouillée ou en utilisant Enterprise Home Screen pour limiter les applications qui peuvent être lancées. Zebra Android programme de mise à jour de l'appareil.
- produits basés sur Microsoft sous le support Microsoft seront mis à jour par Microsoft. Les systèmes d'exploitation Windows CE et Windows Mobile font l'objet d'une enquête. Voir la page Spectre/Meltdown de Microsoft pour plus d'informations.
- Les produits d'imprimante potentiellement affectés par la vulnérabilité Spectre sont limités aux ZT510, ZT610 et ZT620. Tous les autres produits d'imprimante actuellement déployés utilisent un cœur de processeur qui n'est pas affecté par Spectre. Bien que les ZT510, ZT610 et ZT620 soient potentiellement affectés par Spectre, ils ne sont pas directement touchés puisque l'imprimante ne peut exécuter que du code d'auteur Zebra. Les imprimantes Zebra ne sont pas sensibles à Meltdown.
- Les appareils clients de Zebra OneCare Premier (Managed Service) éligibles aux mises à niveau peuvent être programmés dans le cadre du droit de gestion de la version contractée par les clients. Les services fournis par Zebra utilisant l'infrastructure cloud sont mis à jour au fur et à mesure que les correctifs deviennent disponibles.
Référence Non
01-0118-01
Date de sortie de vulnérabilité
03-Jan-2018
Variant 1 – CVE-2017-5753, Spectre: Bounds check bypass
Variante 2 - CVE-2017-5715, Spectre: Injection de cibles de branche
Variant 3 - CVE-2017-5754, Meltdown: Rogue charge de cache de données, vérification de l'autorisation d'accès à la mémoire effectuée après la lecture de la mémoire du noyau
CVE-2017-13218 est une atténuation de cas générale pour les attaques latérales qui aborde également ce problème.
Avertissement: Zebra fait toutes les tentatives pour libérer des mises à jour de sécurité sur ou à peu près le moment où Google publie son bulletin de sécurité respectif. Toutefois, le délai de livraison des mises à jour de sécurité peut varier selon la région, le modèle de produit et les fournisseurs de logiciels tiers. Dans certaines circonstances, le système d'exploitation doit être mis à jour à la dernière version de maintenance avant d'installer les mises à jour de sécurité. Les mises à jour individuelles des produits fourniront des conseils spécifiques.
Sauf indication contraire, il n'y a eu aucun rapport d'exploitation active des clients ou d'abus de ces problèmes nouvellement signalés.
Connaissez-vous un problème de sécurité potentiel avec un produit Zebra Technologies ?