Chatta con noi
Caricatore
Connessione in corso, attendere mentre vi connettiamo.

Le nuove pagine di Supporto e download sono ora ottimizzate e attive! Avete chiesto e vi abbiamo ascoltato. Visita la pagina dell'esperienza Supporto e download per saperne di più su questo aggiornamento.

Vulnerabilità di campionamento dei dati microarchitettonici

Microarchitecture Data Sampling (MDS) è un nome dato a una raccolta di vulnerabilità che potrebbero potenzialmente essere sfruttate utilizzando i buffer temporanei utilizzati per contenere i dati. Queste vulnerabilità includono:

Icona vulnerabilità Fallout

Microarchitectural Store Buffer Data Sampling (MSBDS, CVE-2018-12126), alias Fallout

 

Icona vulnerabilità RIDL

Microarchitectural Load Port Data Sampling (MLPDS, CVE-2018-12127), alias RIDL (Rogue In-Flight Data Load)

Icona vulnerabilità Zombie Load

Campionamento dei dati del buffer di riempimento microarchitettonico (MFBDS, CVE-2018-12130), alias (e RIDL)

Campionamento dati microarchitettonici Memoria non memorizzabile nella cache (MDSUM, CVE-2018-11091)

Le Linee guida per la sicurezza del software di Intel indicano che i metodi di analisi a canale laterale dell'esecuzione speculativa possono essere usati per accedere ai dati:

MDS può consentire a un utente malintenzionato in grado di eseguire localmente codice in un sistema per dedurre i valori dei dati protetti altrimenti protetti da meccanismi architetturali. Anche se può essere difficile indirizzare particolari dati su un sistema utilizzando questi metodi, attori malintenzionati possono essere in grado di dedurre i dati protetti raccogliendo e analizzando grandi quantità di dati.

Zebra incoraggia i clienti a sviluppare e mantenere un programma di manutenzione software regolare. Per garantire la correzione tempestiva, Zebra sta lavorando attivamente con i fornitori di sistemi operativi e processori.

Non ci sono segnalazioni di una riproduzione di successo di queste vulnerabilità che porta a un problema di sicurezza su dispositivi Android basati su Intel.

Prodotti zebra interessati

Queste vulnerabilità potenzialmente hanno un impatto solo compresse di zebra e un computer mobile montato su un veicolo (VC80x). Nessun altro prodotto zebra è interessato.

I seguenti prodotti richiederanno aggiornamenti a causa di queste vulnerabilità:

Zebra non è a conoscenza di alcuna azione attiva di questa vulnerabilità. Tuttavia, si consiglia ai clienti interessati di aggiornare il software per i due prodotti di zebra interessati per ridurre il rischio di sfruttamento. Non verranno effettuati ulteriori aggiornamenti di LifeGuard.

Zebra prende sul serio la sicurezza e consiglia ai clienti di eseguire l'aggiornamento al BSP più recente e di accettare patch mensili per ridurre al minimo i rischi per la sicurezza.

Gli aggiornamenti verranno pubblicati in ogni pagina di supporto del dispositivo non appena vengono rilasciati.

Disclaimer: Zebra fa ogni tentativo di rilasciare gli aggiornamenti di sicurezza il o circa il momento in cui Google rilascia il suo rispettivo bollettino sulla sicurezza. Tuttavia, i tempi di consegna degli aggiornamenti della sicurezza possono variare a seconda dell'area geografica, del modello prodotto e dei fornitori di software di terze parti. In alcune circostanze, il sistema operativo deve essere aggiornato alla versione di manutenzione più recente prima di installare gli aggiornamenti della protezione. I singoli aggiornamenti dei prodotti forniranno indicazioni specifiche.

Se non diversamente specificato, non sono state rilevate segnalazioni di sfruttamento attivo da parte dei clienti o abusi da questi problemi segnalati di recente.



Sei a conoscenza di un potenziale problema di sicurezza con un prodotto di Zebra Technologies?