微架构数据采样漏洞
有关更多信息,请参阅:
Zebra 未检测到此漏洞的任何活跃利用。但是,我们建议有关客户更新两个受影响的 Zebra 产品的软件,以减轻利用风险。无需再进行 LifeGuard 更新。
Zebra 非常重视安全,建议客户更新到 BSP 新版本,并安装每月补丁,以较大程度降低安全风险。
更新将于发布之时公布在每个设备支持页面。
微架构数据采样 (MDS) 是一个漏洞集的名称,可通过使用用来保存数据的临时缓冲区来对这些漏洞加以利用。这些漏洞包括:
微架构存储缓冲区数据采样 (MSBDS, CVE-2018-12126),亦称作 Fallout
微架构负载端口数据采样 (MLPDS, CVE-2018-12127),亦称作 Rogue In-Flight Data Load (RIDL)
微架构填充缓冲区数据采样 (MFBDS, CVE-2018-12130),亦称作 Zombieload (和 RIDL)
微架构数据采样不可缓存内存 (MDSUM, CVE-2018-11091)
Intel 的安全软件指南表示推测执行端通道方法可被用来泄露数据:
MDS 允许可在系统上本地执行代码的恶意用户推测受架构机制保护的受保护数据的值。尽管使用这些方法可能很难锁定系统上的特定数据,但恶意用户或能通过收集和分析大量数据来推测受保护数据。
Zebra 鼓励客户制定和坚持定期的软件维护计划。Zebra 正在积极地与操作系统和处理器供应商合作,以便及时地提供解决方案。
目前还没有报告表明已成功复制这些漏洞,从而导致 Intel 架构的 Android 设备出现安全问题。
受影响的 Zebra 产品
这些漏洞可能只对 Zebra 平板电脑及一款车载移动数据终端 (VC80x) 造成影响。其他 Zebra 产品未受影响。
受这些漏洞影响,以下产品需要进行更新:
现行产品
已停产的产品
免责声明:Zebra 会尽力在 Google 发布安全公告时发布安全更新。但是,安全更新的交付时间可能会因地区、产品型号和第三方软件供应商而异。在某些情况下,在安装安全更新之前,必须将操作系统更新到较新的维护版本。各个产品更新将提供具体指导。
除非另有说明,新报告的问题中没有利用或滥用活跃客户信息的现象。
您了解 Zebra Technologies 产品的潜在安全问题吗?