Aggiornamenti delle vulnerabilità di sicurezza di Spectre e Meltdown
Cosa sono Spectre e Meltdown?
Spectre e Meltdown sono vulnerabilità che possono essere sfruttate come attacchi di canale laterale di esecuzione speculativa eseguiti da malware. Non ci sono exploit attivi noti di Spectre o Meltdown.
- Spectre ruba i dati dalla memoria di altre applicazioni in esecuzione su un computer. Colpisce quasi tutti i processori moderni - compresi quelli di AMD, ARM e Intel.
- Meltdown consente la lettura della memoria protetta. Può essere facilmente risolto dagli aggiornamenti del sistema operativo e sembra essere limitato ai chip Intel.
Quali prodotti sono interessati?
Si prega di controllare la nostra pagina di informazioni aggiuntive per i prodotti interessati e un programma di rilasci di patch.
La pagina continuerà a essere aggiornata man mano che vengono stabilite le date di rilascio delle patch.
Zebra cosa consiglia di fare?
Zebra incoraggia i clienti a sviluppare e mantenere un programma di manutenzione software regolare. Per garantire la correzione tempestiva, Zebra sta lavorando attivamente con i fornitori di sistemi operativi e processori.
I dispositivi di zebra in grado di eseguire il codice dell'applicazione devono essere bloccati per impedire il caricamento di un'applicazione dannosa che potrebbe tentare di sfruttare le vulnerabilità. Gli impatti del codice dannoso che utilizza Spectre o Meltdown possono essere attenuati solo caricando codice dell'applicazione da fonti attendibili. Non ci sono segnalazioni di qualsiasi riproduzione di successo di queste vulnerabilità che porta a un problema di sicurezza su dispositivi Android basati su ARM o Intel.
- Prodotti basati su Android con un livello di patch di sicurezza 2018-01-05 verranno aggiornati per le restanti attenuazioni di CVE-2017-13218 come richiesto per la conformità al livello di patch di sicurezza 2018-03-05. I dispositivi di elaborazione mobile di zebra possono essere protetti tramite una configurazione bloccata o utilizzando l'Enterprise Home Screen per limitare le applicazioni che possono essere avviate. pianificazione degli aggiornamenti dei dispositivi Android di zebra.
- prodotti basati su Microsoft del supporto tecnico Microsoft verranno aggiornati da Microsoft. I sistemi operativi Windows CE e Windows Mobile sono sotto esame. Per ulteriori informazioni, vedere pagina Spectre/Meltdown di Microsoft.
- I prodotti printer potenzialmente interessati dalla vulnerabilità Spectre sono limitati al T510, T610 e T620. Tutti gli altri prodotti di stampa attualmente distribuiti utilizzano un core del processore non interessato da Spectre. Anche se i file T510, T610 e T620 sono potenzialmente interessati da Spectre, non sono direttamente interessati dal momento che la stampante può eseguire solo il codice creato da zebra. Le stampanti zebra non sono soggette a Meltdown.
- I dispositivi OneCare Premier (Managed Service) per i clienti di Zebra idonei all'aggiornamento possono pianificarlo come parte del diritto alla gestione del rilascio contrattuale dei clienti. I servizi forniti da Zebra che impiegano l'infrastruttura cloud vengono aggiornati man mano che le patch diventano disponibili.
N. riferimento
01-0118-01
Data di rilascio della vulnerabilità
03-gen-2018
Variante 1 - CVE-2017-5753, Spectre: bypass controllo limiti
Variante2 - CVE-2017-5715, Spectre: Iniezione bersaglio diramazione
Variante 3 - CVE-2017-5754, Meltdown: Caricamento della cache dei dati Rogue, controllo delle autorizzazioni di accesso alla memoria eseguito dopo la lettura della memoria kernel
CVE-2017-13218 è una mitigazione generale dei casi per gli attacchi dei canali laterali che risolve anche questo problema.
Disclaimer: Zebra fa ogni tentativo di rilasciare gli aggiornamenti di sicurezza il o circa il momento in cui Google rilascia il suo rispettivo bollettino sulla sicurezza. Tuttavia, i tempi di consegna degli aggiornamenti della sicurezza possono variare a seconda dell'area geografica, del modello prodotto e dei fornitori di software di terze parti. In alcune circostanze, il sistema operativo deve essere aggiornato alla versione di manutenzione più recente prima di installare gli aggiornamenti della protezione. I singoli aggiornamenti dei prodotti forniranno indicazioni specifiche.
Se non diversamente specificato, non sono state rilevate segnalazioni di sfruttamento attivo da parte dei clienti o abusi da questi problemi segnalati di recente.
Sei a conoscenza di un potenziale problema di sicurezza con un prodotto di Zebra Technologies?