Уязвимости выборки микроархитектуры данных
Для получения дополнительной информации, пожалуйста, см.:
Zebra не знает о каких-либо активных подвигах этой уязвимости. Тем не менее, мы рекомендуем заинтересованным клиентам обновить программное обеспечение для двух пострадавших продуктов Zebra, чтобы уменьшить риск эксплуатации. Дополнительные обновления LifeGuard не будут внесены.
Zebra серьезно относится к безопасности и рекомендует клиентам обновляться до последних BSP и принимать ежемесячные патчи, чтобы минимизировать риски безопасности.
Обновления будут размещаться на каждой странице поддержки устройства по мере их выпуска.
Microarchitecture Data Sampling (MDS) — это имя, данное коллекции уязвимостей, которые потенциально могут быть использованы с помощью временных буферов, используемых для хранения данных. К этим уязвимостям относятся:
Микроархитектурная выборка буферных данных хранилища (MSBDS, CVE-2018-12126), известная как Fallout
Микроархитектурная загрузка данных порта нагрузки нагрузки (MLPDS, CVE-2018-12127), ака Rogue в полете нагрузки данных (RIDL)
Микроархитектурная выборка буферных данных (MFBDS, CVE-2018-12130), ака Зомбинагрузка (и RIDL)
Микроархитектурная выборка данных неприкосновенная память (MDSUM, CVE-2018-11091)
Руководство Intel по программному обеспечению Security указывает на то, что для разоблачения данных могут использоваться методы спекулятивного канала выполнения:
MDS может позволить злоумышленнику, который может локально выполнять код в системе, сделать вывод о значениях защищенных данных, в противном случае защищенных архитектурными механизмами. Хотя с помощью этих методов может быть трудно ориентировать конкретные данные на систему, злоумышленники могут сделать вывод о защищенных данных путем сбора и анализа больших объемов данных.
Zebra поощряет клиентов к разработке и поддержанию регулярной программы технического обслуживания программного обеспечения. Zebra активно работает с операционными системами и поставщиками процессоров, чтобы обеспечить своевременное исправление.
Сообщений об успешном воспроизведении этих уязвимостей, ведущих к проблеме безопасности на устройствах Android на базе Intel, не поступало.
Пострадавшие продукты Zebra
Эти уязвимости потенциально влияют только таблетки Zebra один мобильный компьютер, установленный на транспортном средстве (VC80x). Никакие другие продукты Zebra не затронуты.
Следующие продукты потребуют обновления в результате этих уязвимостей:
Активные продукты
Прекратив продукты
Отказ от ответственности: Zebra делает все возможное, чтобы выпустить обновления безопасности или о времени, что Google выпускает свой соответствующий бюллетень безопасности. Однако сроки предоставления обновлений безопасности могут варьироваться в зависимости от региона, модели продукта и сторонних поставщиков программного обеспечения. При некоторых обстоятельствах ОС должна быть обновлена до последнего выпуска технического обслуживания до установки обновлений безопасности. Отдельные обновления продуктов предоставят конкретные рекомендации.
Если не будет отмечено иное, не поступало никаких сообщений об активной эксплуатации или злоупотреблении со стороны клиентов в связи с этими вновь зарегистрированными проблемами.
Знаете ли вы о потенциальной проблеме безопасности с продуктом «Zebra Технологии»?