Mikroarchitektoniczne luki w zabezpieczeniach próbkowania danych
Aby uzyskać więcej informacji, zobacz:
Firma Zebra nie zdaje sobie sprawy z żadnych aktywnych luk w zabezpieczeniach. Zalecamy jednak, aby klienci aktualizowali oprogramowanie dla dwóch produktów firmy Zebra, aby ograniczyć ryzyko ich wykorzystywania. Nie zostaną wprowadzone żadne dodatkowe aktualizacje LifeGuard.
Firma Zebra poważnie traktuje bezpieczeństwo i zaleca klientom aktualizację do najnowszej wersji BSP i zaakceptowanie comiesięcznych poprawek w celu zminimalizowania ryzyka związanego z bezpieczeństwem.
Aktualizacje zostaną opublikowane na każdej stronie pomocy technicznej urządzenia, ponieważ są one wydawane.
Mikroarchitektura próbkowania danych (MDS) to nazwa nadany kolekcji luk, które potencjalnie mogą być wykorzystane przy użyciu tymczasowych bufory używane do przechowywania danych. Do tych luk należą:
Microarchitectural Store Buffer Data Sampling (MSBDS, CVE-2018-12126), aka Fallout
Microarchitectural Load Port Data Sampling (MLPDS, CVE-2018-12127), aka Rogue In-Flight Data Load (RIDL)
Microarchitectural Fill Buffer Data Sampling (MFBDS, CVE-2018-12130), aka Zombieload (and RIDL)
Microarchitectural Data Sampling Uncacheable Memory (MDSUM, CVE-2018-11091)
Security firmy Intel wskazuje, że metody kanału po stronie wykonywania spekulacyjnego mogą być używane do ujawniania danych:
MDS może zezwolić złośliwy użytkownik, który może lokalnie wykonać kod w systemie, aby wywnioskować wartości chronionych danych w przeciwnym razie chronione przez mechanizmy architektoniczne. Chociaż może być trudne do kierowania określonych danych w systemie przy użyciu tych metod, złośliwych podmiotów może być w stanie wywnioskować chronionych danych przez zbieranie i analizowanie dużych ilości danych.
Firma Zebra zachęca klientów do opracowania i utrzymania regularnego programu konserwacji oprogramowania. Firma Zebra aktywnie współpracuje z dostawcami systemów operacyjnych i procesorów w celu terminowego zapewnienia środków naprawczych.
Brak doniesień o pomyślnym powielaniu tych luk prowadzących do problemu z zabezpieczeniami na urządzeniach z systemem Android opartych na procesorach Intel.
Produkty Zebra, których dotyczy problem
These vulnerabilities potentially impact only Zebra tablets and one vehicle-mounted mobile computer (VC80x). Żadne inne produkty firmy Zebra nie są zagrożone.
Następujące produkty będą wymagały aktualizacji w wyniku tych luk:
Produkty aktywne
Produkty wycofane z produkcji
Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.
O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.
Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?