Hjem Support Spectre og Meltdown – CPU-sårbarheter

Spectre og Meltdown


Spectre og Meltdown – CPU-sårbarheter og multifunksjonsprintere fra Konica Minolta

 

Basert på dagens kunnskap er trusselnivået svært lavt for Konica Minolta-produkter.

1. Oversikt (sitert fra Cert.org)

CPU-implementeringer er utsatt for bufferangrep på sidekanalen. Disse sikkerhetsproblemene kalles Meltdown og Spectre. Både Spectre og Meltdown utnytter muligheten til å trekke ut informasjon fra instruksjoner som har blitt utført på en kompressor, ved å bruke prosessorbufferen som en sidekanal. Slike angrep er beskrevet i detalj av Google Project Zero, Institute of Applied Information Processing and Communications (IAIK) ved Graz University of Technology (TU Graz) og Anders Fogh.
 

Problemene er organisert i tre varianter:

 

Variant 1 (CVE-2017-5753, Spectre):
"Bounds check bypass"
Variant 2 (CVE-2017-5715, også Spectre):
"Branch target injection"
Variant 3 (CVE-2017-5754, Meltdown):
Lasting av falsk databuffer, kontroll av minnetilgang utført etter at kjerneminnet er lest

 

2. Alvorlighetsgraden for disse sikkerhetsproblemene ifølge CVSS v3, Common Vulnerability Scoring System
 

CVE-2017-5753
 
Grunnresultat:
5,6 Middels
Vektor:
AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N (legend)
Effektresultat:
4,0
Utnyttelsesresultat:
1,1
 
CVE-2017-5715
 
Grunnresultat:
5,6 Middels
Vektor:
AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N (legend)
Effektresultat:
4,0
Utnyttelsesresultat:
1,1
 
CVE-2017-5754
 
Grunnresultat:
5,6 Middels
Vektor:
AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N (legend)
Effektresultat:
4,0
Utnyttelsesresultat:
1,1


Merk: Du finner mer informasjon om CVSS på nettstedet first.org. Siden CVSS-resultatet kan bli oppdatert av og til, bør du sjekke den nyeste statusen på CVEs nettsted. I tillegg kan CVSS-resultatet være forskjellig for hvert sikkerhetsbyrå.
 

3. Risiko for multifunksjonsprintere 

På nåværende tidspunkt eksisterer sikkerhetsproblemet bare når et ondsinnet program kjøres på målenheten. Hvis det kjøres, kan programmet få tilgang til data som er lagret i minnet, som vanligvis bør beskyttes av systemet (minnet i kjerneområdet til operativsystemet, minnet for hver prosess og minnet for hver virtuelle maskin). Det er viktig å være klar over at minnedataene ikke kan vises eksternt på et eksternt nettverk.
 

Flere multifunksjonsprintere fra Konica Minolta inneholder ARM- eller Intel-prosessorer som muligens er berørt av Meltdown- og Spectre-sikkerhetsproblemet.
 

For at en angriper skal kunne utnytte dette sikkerhetsproblemet i multifunksjonsprintere, må det kjøre et ondsinnet program på målmaskinen ved å endre den interne fastvaren.
 

Konica Minolta multifunksjonsprintere har oppnådd ISO 15408 Common Criteria Security-sertifisering. ISO 15408-sertifisert fastvare er signert digitalt av Konica Minolta. Før du installerer oppdatert fastvare på multifunksjonsprinteren, kan den autoriserte serviceteknikeren kontrollere den digitale Konica Minolta-signaturen for å sikre dataintegriteten.
 

I tillegg inneholder ISO 15408-sertifiserte multifunksjonsprintere en funksjon for fastvarebekreftelse. Når du skriver hovedenhetens fastvare på nytt, kjøres en kontroll av nøkkelverdien for å se om fastvaredataene ble manipulert. Hvis nøkkelverdiene ikke samsvarer, utløses et varsel og fastvaren skrives ikke på nytt. Når utvidet sikkerhetsmodus er aktivert, utføres også kontroll av nøkkelverdier hver gang hovedstrømkilden slås PÅ. Hvis nøkkelverdiene ikke samsvarer, utløses et varsel, og det er ikke tillatt å starte hoved-multifunksjonsprinteren.
 

På grunn av disse sikkerhetsmekanismene er det svært vanskelig for en angriper å bygge inn den utnyttende koden i multifunksjonsprinteren og kjøre den.
 

Derfor planlegger KMI for øyeblikket ikke å utgi oppdatert fastvare for Spectre eller Meltdown på grunn av den svært lave risikoen for at dette sikkerhetsproblemet angriper multifunksjonsprinterne våre.
 

4. For PP-kontrollere, Fiery og Creo

Siden EFI Fiery- og Creo-kontrollere også inneholder Intel-prosessorer, er de berørt av sikkerhetsproblemet med Meltdown. EFI annonserte statusen på deres offentlige nettsted og via en partnermelding, som vist nedenfor.
 

EFI Smart Support News (offentlig)
Sikkerhetsproblemer i Intel-prosessor: Spectre, Meltdown
Fiery Partner-melding (bare for godkjente medlemmer)
Sikkerhetsproblemer i Intel-prosessor: Spectre, Meltdown


Creo har ikke noen offentlig kommentar om dette for øyeblikket, men de kommer til å utgi en programvareoppdatering en gang i fremtiden.
 

5. Multifunksjonsprintere som inneholder berørte prosessorer

Kontorprodukt med farger: (C458/C558/C658), (C659/C759)
Kontorprodukt i sort/hvitt: (458e/558e/658e), (758/808/958)


Disse kontorproduktene inneholder ARM Cortex-A15-prosessoren.

PP-produkter: Alle PP-produkter har berørte Intel-prosessorer.


6. Informasjon om prosessorleverandøren

ARM: Sikkerhetsproblem i Speculative-prosessorer for sidekanalsmekanisme for buffertiming

Intel: Speculative-utførelse og indirekte grenprediksjon – sidekanalanalysemetode


7. Referanser

CERT/CC-sikkerhetsmerknad VU#584653
Prosessormaskinvare er sårbar for angrep på sidekanalen

NIST National Vulnerability Database

CVE-2017-5753-detaljer

CVE-2017-5715-detaljer

CVE-2017-5754-detaljer


Meltdown og Spectre