Actualizaciones de vulnerabilidad de seguridad de Spectre y Meltdown

¿Qué son Spectre y Meltdown?

Spectre y Meltdown son vulnerabilidades que pueden ser explotadas como ataques de canal lateral de ejecución especulativa ejecutados por malware. No hay exploits activos conocidos de Spectre o Meltdown.

  • Spectre roba datos de la memoria de otras aplicaciones que se ejecutan en un equipo. Afecta a casi todos los procesadores modernos, incluidos los de AMD, ARM e Intel.

  • Meltdown permite leer memoria protegida. Se puede solucionar fácilmente con actualizaciones del sistema operativo y parece estar limitado a chips Intel.
¿Qué productos se ven afectados?

Consulte nuestra página de información adicional para ver los productos afectados y un calendario de versiones de parches.

La página continuará actualizándose a medida que se establezcan las fechas de lanzamiento del parche.

¿Qué recomienda Zebra que hago?

Zebra anima a los clientes a desarrollar y mantener un programa de mantenimiento de software regular. Zebra está trabajando activamente con proveedores de sistemas operativos y procesadores para proporcionar la corrección de manera oportuna.

Los dispositivos Zebra capaces de ejecutar código de aplicación deben bloquearse para evitar la carga de una aplicación malintencionada que podría intentar explotar las vulnerabilidades. Los impactos de código malintencionado que utilizan Spectre o Meltdown solo se pueden mitigar cargando código de aplicación de fuentes de confianza. No hay informes de ninguna reproducción exitosa de estas vulnerabilidades que conduzca a un problema de seguridad en ARM o dispositivos Android basados en Intel.

  • productos basados en Android con un nivel de parche de seguridad 2018-01-05 se actualizará para las mitigaciones restantes de CVE-2017-13218 según sea necesario para el cumplimiento del nivel de parche de seguridad 2018-03-05. Los dispositivos informáticos móviles Zebra pueden protegerse mediante una configuración bloqueada o mediante la pantalla de inicio de Enterprise para limitar las aplicaciones que se pueden iniciar. Programación de actualización del dispositivo Zebra Android.

  • Productos basados en Microsoft en soporte técnico de Microsoft, Microsoft actualizará. Los sistemas operativos Windows CE y Windows Mobile están bajo investigación. Consulte página Spectre/Meltdown de Microsoft para obtener más información.

  • Los productos potencialmente afectados por la vulnerabilidad Spectre están limitados a la ZT510, ZT610 y ZT620. Todos los demás productos de impresora implementados actualmente utilizan un núcleo de procesador que no se ve afectado por Spectre. Aunque el ZT510, el ZT610 y el ZT620 se ven potencialmente afectados por Spectre, no se ven afectados directamente, ya que la impresora solo puede ejecutar código creado por Zebra. Las impresoras Zebra no son susceptibles a Meltdown.

  • dispositivos de cliente de Zebra OneCare Premier (Servicio administrado elegibles para actualizaciones se pueden programar como parte de los clientes contratados con derechos de administración de versiones. Los servicios proporcionados por Zebra que emplean infraestructura en la nube se actualizan a medida que los parches están disponibles.

 

No de referencia
01-0118-01

Fecha de lanzamiento de la vulnerabilidad
03-Enero-2018

  • Variante 1 - CVE-2017-5753, Espectro: Los límites comprueban la derivación

  • Variante 2 - CVE-2017-5715, Spectre: Inyección de destino de rama

  • Variante 3 - CVE-2017-5754, Meltdown: Carga de caché de datos no fiables, comprobación de permisos de acceso a la memoria realizada después de la lectura de la memoria del kernel

  • CVE-2017-13218 es una mitigación general del caso para los ataques de canal lateral que también abordan este problema.

Descargo de responsabilidad: Zebra realiza todos los intentos de publicar actualizaciones de seguridad en o sobre el momento en que Google publica su respectivo boletín de seguridad. Sin embargo, el tiempo de entrega de las actualizaciones de seguridad puede variar según la región, el modelo de producto y los proveedores de software de terceros. En algunas circunstancias, el sistema operativo debe actualizarse a la versión de mantenimiento más reciente antes de instalar las actualizaciones de seguridad. Las actualizaciones individuales de productos proporcionarán orientación específica.

A menos que se indique lo contrario, no ha habido informes de explotación activa del cliente o abuso de estos problemas recién reportados.



¿Conoce un posible problema de seguridad con un producto de Zebra Technologies?