チャットでのお問い合わせ
ローダー
接続中です。しばらくお待ちください。

近日リリース予定:製品サポートへのアクセスを向上させる製品に焦点を当てた検索とガイド付きナビゲーション。ご意見ありがとうございました。

スペクターとメルトダウンのセキュリティ脆弱性の更新

スペクター
スペクター メルトダウン

参照番号

01-0118-01

脆弱性のリリース日

03-1月2018日

  • バリアント 1 - CVE-2017-5753、スペクター:境界チェックバイパス

  • バリアント 2 - CVE-2017-5715, スペクター: ブランチターゲットインジェクション

  • Variant 3 - CVE-2017-5754、メルトダウン: 不正なデータキャッシュのロード、メモリアクセス許可の確認は、カーネルメモリ読み取り後に実行されます

  • CVE-2017-13218 は、この問題にも対処するサイドチャネル攻撃の一般的なケース軽減です。

スペクターとメルトダウンとは何ですか?

スペクターとメルトダウンは、マルウェアによって投機的実行サイドチャネル攻撃として悪用される脆弱性です。スペクターまたはメルトダウンのいずれについても、現在アクティブな悪用は報告されていません。

  • スペクターは、マシン上で動作する他のアプリケーションのメモリからデータを盗みます。これは AMD、ARM、インテルなど、ほとんどすべての最新プロセッサーに影響を及ぼします。

  • メルトダウンは、保護されたメモリの読み出しを可能にします。OSのアップデートで簡単に修正できるもので、影響は Intel チップに限定されるようです。

影響を受けている製品

影響を受けた製品およびパッチリリースのスケジュールについては、追加情報ページをご確認ください。

パッチのリリース日が設定されると、ページは引き続き更新されます。

Zebraは私が何をすることをお勧めしますか?

Zebraは、お客様に定期的なソフトウェアメンテナンスプログラムの開発と維持を奨励しています。Zebraは、オペレーティングシステムおよびプロセッサベンダーと積極的に協力して、タイムリーに修復を提供しています。

アプリケーションコードを実行できるZebraデバイスは、脆弱性を悪用しようとする悪意のあるアプリケーションの読み込みを防ぐため、ロックダウンする必要があります。スペクターやメルトダウンを利用した悪意のあるコードによる影響は、信頼できるソースからアプリケーションコードのみを読み取ることで軽減できます。ARMまたはインテルベースのAndroidデバイスにおいて、これらの脆弱性が再現され、セキュリティ問題につながったという報告はありません。

  • Android ベースの製品:セキュリティパッチレベルが2018-01-05である場合、CVE-2017-13218 を緩和するために必要な 2018-03-05 セキュリティパッチレベルにアップデートします。Zebraのモバイルコンピューティングデバイスは、ロックダウン設定、あるいは Enterprise Home Screen を使用して起動できるアプリケーションを制限することによって保護することができます。 Zebra Android デバイスの更新スケジュール.

  • Microsoft ベースの製品:Microsoft のサポート下にあるものは、Microsoft によって更新されます。Windows CE および Windows Mobile オペレーティングシステムは現在調査中です。詳細については、Microsoft スペクター/メルトダウン ページをご覧ください。

  • プリンタ製品: スペクターの脆弱性の影響を受ける可能性がある製品は、ZT510、ZT610、ZT620に限られます。現在導入されているその他すべてのプリンター製品は、スペクターの影響を受けないプロセッサ コアを使用しています。ZT510、ZT610、ZT620はスペクターの影響を受ける可能性がありますが、プリンタはZebraが作成したコードしか実行できないため、直接的な影響はありません。Zebraのプリンターはメルトダウンの影響を受けません。

  • Zebra OneCare プレミア(マネージドサービス)カスタマー デバイス:アップグレードの対象であり、お客様がが契約したリリース管理権限の一部としてアップグレードをスケジュールすることができます。クラウド インフラストラクチャを採用した Zebra 提供のサービスは、パッチが利用可能になると更新されます。

 

免責事項: Zebraは、Googleがそれぞれのセキュリティ情報をリリースする時期について、セキュリティアップデートをリリースするようあらゆる試みを行っています。ただし、セキュリティ更新プログラムの配信時間は、地域、製品モデル、およびサード パーティ製ソフトウェアの供給業者によって異なる場合があります。状況によっては、セキュリティ更新プログラムをインストールする前に、OSを最新のメンテナンスリリースに更新する必要があります。個々の製品の更新プログラムは、具体的なガイダンスを提供します。

特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。



Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?