スペクターとメルトダウンのセキュリティ脆弱性の更新

スペクターとメルトダウンとは何ですか?

スペクターとメルトダウンは、マルウェアによって実行される投機的実行サイドチャネル攻撃として悪用される可能性のある脆弱性です。スペクターまたはメルトダウンの既知のアクティブなエクスプロイトはありません。

  • Spectreは、マシン上で実行されている他のアプリケーションのメモリからデータをに取得します。AMD、ARM、インテルなど、ほぼすべての最新プロセッサに影響を与えます。

  • メルトダウンは保護されたメモリを読み取ります。OSのアップデートで簡単に修正でき、インテルチップに限られているようです。
影響を受けている製品

影響を受けた製品およびパッチリリースのスケジュールについては、追加情報ページをご確認ください。

パッチのリリース日が設定されると、ページは引き続き更新されます。

Zebraは私が何をすることをお勧めしますか?

Zebraは、お客様に定期的なソフトウェアメンテナンスプログラムの開発と維持を奨励しています。Zebraは、オペレーティングシステムおよびプロセッサベンダーと積極的に協力して、タイムリーに修復を提供しています。

アプリケーションコードを実行できるZebraデバイスは、脆弱性を悪用しようとする悪意のあるアプリケーションのロードを防ぐためにロックダウンする必要があります。Spectre または Meltdown を利用する悪意のあるコードによる影響は、信頼できるソースからアプリケーション コードを読み込むことで軽減できます。ARMまたはIntelベースのAndroidデバイスのセキュリティ上の問題につながるこれらの脆弱性の正常な再現の報告はありません。

  • Android ベースの製品 2018-01-05 セキュリティ パッチ レベルは、2018-03-05 セキュリティ パッチ レベルへの準拠に必要な CVE-2017-13218 の残りの緩和策に対して更新されます。Zebraモバイルコンピューティングデバイスは、ロックダウンされた設定またはEnterprise Home Screenを使用して、起動可能なアプリケーションを制限することによって保護することができます。Zebraアンドロイドデバイスの更新スケジュール

  • マイクロソフトベースの製品マイクロソフトのサポートの下でマイクロソフトはマイクロソフトによって更新されます。Windows CE および Windows モバイル オペレーティング システムは調査中です。詳細についてはマイクロソフトのスペクター/メルトダウンページを参照してください。

  • プリンタ製品スペクターの脆弱性の影響を受ける可能性がある製品は、zT510、ZT610、ZT620に限定。現在展開されている他のすべてのプリンタ製品は、スペクターの影響を受けないプロセッサ コアを使用します。ZT510、ZT610、ZT620 はスペクターの影響を受ける可能性がありますが、プリンタは Zebra オーサリングされたコードしか実行できないので直接影響を受けません。Zebraプリンタはメルトダウンの影響を受けにくいです。

  • Zebra OneCare プレミア(マネージド サービス)カスタマー デバイスアップグレードの対象となるデバイスは、契約されたリリース管理資格の一部としてスケジュールできます。クラウドインフラストラクチャを採用したZebraが提供するサービスパッチが利用可能になると更新

 

参照番号
01-0118-01

脆弱性のリリース日
03-1月2018日

  • バリアント 1 - CVE-2017-5753、スペクター:境界チェックバイパス

  • バリアント 2 - CVE-2017-5715, スペクター: ブランチターゲットインジェクション

  • Variant 3 - CVE-2017-5754、メルトダウン: 不正なデータキャッシュのロード、メモリアクセス許可の確認は、カーネルメモリ読み取り後に実行されます

  • CVE-2017-13218 は、この問題にも対処するサイドチャネル攻撃の一般的なケース軽減です。

免責事項: Zebraは、Googleがそれぞれのセキュリティ情報をリリースする時期について、セキュリティアップデートをリリースするようあらゆる試みを行っています。ただし、セキュリティ更新プログラムの配信時間は、地域、製品モデル、およびサード パーティ製ソフトウェアの供給業者によって異なる場合があります。状況によっては、セキュリティ更新プログラムをインストールする前に、OS を最新のメンテナンス リリースに更新する必要があります。個々の製品の更新プログラムは、具体的なガイダンスを提供します。

特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。



Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?