Vulnerabilità di campionamento dei dati microarchitettonici

Per ulteriori informazioni, consultare:

Zebra non è a conoscenza di alcuna azione attiva di questa vulnerabilità. Tuttavia, si consiglia ai clienti interessati di aggiornare il software per i due prodotti di zebra interessati per ridurre il rischio di sfruttamento. Non verranno effettuati ulteriori aggiornamenti di LifeGuard.

La società prende sul serio la sicurezza e consiglia ai clienti di eseguire l'aggiornamento al BSP più recente e di accettare patch mensili per ridurre al minimo i rischi per la sicurezza.

Gli aggiornamenti verranno pubblicati in ogni pagina di supporto del dispositivo non appena vengono rilasciati.

Microarchitecture Data Sampling (MDS) è un nome dato a una raccolta di vulnerabilità che potrebbero potenzialmente essere sfruttate utilizzando i buffer temporanei utilizzati per contenere i dati. Queste vulnerabilità includono:

Logo Fallout


Microarchitectural Store Buffer Data Sampling (MSBDS, CVE-2018-12126), alias Fallout

 

Logo RIDL

Microarchitectural Load Port Data Sampling (MLPDS, CVE-2018-12127), alias RIDL (Rogue In-Flight Data Load)

Logo zombiload

Campionamento dei dati del buffer di riempimento microarchitettonico (MFBDS, CVE-2018-12130), alias (e RIDL)

Campionamento dati microarchitettonici Memoria non memorizzabile nella cache (MDSUM, CVE-2018-11091)

La Security Software Guidance di Intel indica che è possibile utilizzare i metodi dei canali laterali di esecuzione speculativa per esporre i dati:

MDS può consentire a un utente malintenzionato in grado di eseguire localmente codice in un sistema per dedurre i valori dei dati protetti altrimenti protetti da meccanismi architetturali. Anche se può essere difficile indirizzare particolari dati su un sistema utilizzando questi metodi, attori malintenzionati possono essere in grado di dedurre i dati protetti raccogliendo e analizzando grandi quantità di dati.

Incoraggia i clienti a sviluppare e mantenere un programma di manutenzione software regolare. Per garantire la correzione tempestiva, la società sta lavorando attivamente con i fornitori di sistemi operativi e processori.

Non ci sono segnalazioni di una riproduzione di successo di queste vulnerabilità che porta a un problema di sicurezza su dispositivi Android basati su Intel.

Prodotti zebra interessati

Queste vulnerabilità potenzialmente hanno un impatto solo compresse di zebra e un computer mobile montato su un veicolo (VC80x). Nessun altro prodotto zebra è interessato.

I seguenti prodotti richiederanno aggiornamenti a causa di queste vulnerabilità:

Disclaimer: Zebra fa ogni tentativo di rilasciare gli aggiornamenti di sicurezza il o circa il momento in cui Google rilascia il suo rispettivo bollettino sulla sicurezza. Tuttavia, i tempi di consegna degli aggiornamenti della sicurezza possono variare a seconda dell'area geografica, del modello prodotto e dei fornitori di software di terze parti. In alcune circostanze, il sistema operativo deve essere aggiornato alla versione di manutenzione più recente prima di installare gli aggiornamenti della protezione. I singoli aggiornamenti dei prodotti forniranno indicazioni specifiche.

Se non diversamente specificato, non sono state rilevate segnalazioni di sfruttamento attivo da parte dei clienti o abusi da questi problemi segnalati di recente.



Sei a conoscenza di un potenziale problema di sicurezza con un prodotto di Zebra Technologies?