Vulnerabilidades de amostragem de dados microarquitetônicos
Para mais informações, por favor, consulte:
A zebra não tem conhecimento de quaisquer explorações activas desta vulnerabilidade. No entanto, recomendamos que os clientes em questão atualizem o software para os dois produtos zebra impactados para mitigar o risco de exploração. Nenhuma atualização adicional do LifeGuard será feita.
A zebra leva a sério a segurança e recomenda que os clientes atualizem para o BSP mais recente e aceitem patches mensais para minimizar os riscos de segurança.
As atualizações serão lançadas em cada página de suporte do dispositivo à medida que forem lançadas.
A amostragem de dados de microarquitetura (MDS) é um nome dado a uma coleção de vulnerabilidades que poderiam potencialmente ser exploradas usando os buffers temporários usados para armazenar dados. Essas vulnerabilidades incluem:
Amostragem de dados de buffer de armazenamento microarquitetônico (MSBDS, CVE-2018-12126), também conhecida como Fallout
Amostragem de dados da porta de carga microarquitetônica (MLPDS, CVE-2018-12127), também conhecida como Carga de dados de voo (RIDL)
Amostragem de dados de buffer de preenchimento microarquitetônico (MFBDS, CVE-2018-12130), também conhecida como Zombieload (e RIDL)
Memória UnCacheable da amostragem dos dados de microarchitectural (MDSUM, CVE-2018-11091)
A orientação do software Segurança da Intel indica que métodos de canal de execução especulativo podem ser usados para expor dados:
MDS pode permitir que um usuário mal-intencionado que pode executar localmente código em um sistema para inferir os valores de dados protegidos de outra forma protegidos por mecanismos arquitetônicos. Embora possa ser difícil direcionar dados específicos em um sistema usando esses métodos, os atores mal-intencionados podem ser capazes de inferir dados protegidos coletando e analisando grandes quantidades de dados.
A zebra incentiva os clientes a desenvolverem e manterem um programa regular de manutenção de software. A zebra está trabalhando ativamente com os fornecedores do sistema operacional e do processador para fornecer remediação em tempo hábil.
Não há relatos de qualquer reprodução bem-sucedida dessas vulnerabilidades, levando a um problema de segurança em dispositivos Android baseados em Intel.
Produtos zebra afetados
Estas vulnerabilidades potencialmente impactam apenas tablets zebra e um computador móvel montado no veículo (VC80x). Nenhum outro produto zebra é afetado.
Os seguintes produtos exigirão atualizações como resultado dessas vulnerabilidades:
Produtos activos
Produtos descontinuados
Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.
Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.
Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?