Remiantis dabartinėmis žiniomis, grėsmės tikimybė Konica Minolta gaminiams yra labai maža. 1. Apžvalga (citata iš Cert.org) CPU aparatinei įrangai kyla grėsmė dėl spartinančiosios atmintinės atakų iš šalies. Šios grėsmės vadinamos Meltdown ir Spectre. Tiek Spectre, tiek Meltdown naudojasi galimybe išgauti informaciją iš nurodymų, kurie buvo įvykdyti CPU, naudojant CPU spartinančiąją atmintinę kaip šalutinį kanalą. Šias atakas detaliai aprašo Google Project Zero, Graco technologijos universiteto (TU Graz) Taikomosios informacijos apdorojimo ir ryšių institutas (IAIK) ir Anders Fogh.
Problemos suskirstytos į tris atvejus:
2. Šių grėsmių sunkumo balas pagal CVSS v3 – bendrąją pažeidžiamumo vertinimo sistemą
Pastaba: CVSS paaiškinimą rasite first.org web site. Kadangi CVSS balai retkarčiais gali būti atnaujinami, patikrinkite naujausią būseną CVE interneto svetainėje. Be to, kiekviena saugumo agentūra gali pateikti skirtingus CVSS balus.
3. Grėsmė daugiafunkciams prietaisams Šiuo metu grėsmė egzistuoja tik tada, kai kenkėjiška programa paleidžiama tiksliniame prietaise. Jei ji paleidžiama, programa gali pasiekti atmintyje saugomus duomenis, kuriuos paprastai sistema turėtų apsaugoti (OS branduolio srities atmintį, kiekvieno proceso atmintį ir kiekvieno virtualaus aparato atmintį). Svarbu žinoti, kad atminties duomenys negali būti rodomi nuotoliniu būdu išoriniame tinkle.
Keliuose Konica Minolta daugiafunkciuose prietaisuose yra ARM arba Intel procesoriai, kuriuos gali paveikti „Meltdown“ ir „Spectre“ grėsmės.
Tam, kad užpuolikas išnaudotų šią silpnąją vietą daugiafunkciuose prietaisuose, reikia paleisti kenkėjišką programą tiksliniame aparate pakeičiant vidinę programinę įrangą.
Konica Minolta daugiafunkciams prietaisams suteiktas ISO 15408 Bendrųjų kriterijų saugumo sertifikatas. ISO 15408 sertifikuota programinė aparatinė įranga yra skaitmeniniu būdu pasirašyta Konica Minolta. Prieš daugiafunkciame prietaise diegiant atnaujintą programinę aparatinę įrangą įgaliotas techninės priežiūros specialistas gali patikrinti Konica Minolta skaitmeninį parašą, kad užtikrintų duomenų tikrumą.
Be to, ISO 15408 sertifikuotuose daugiafunkciuose prietaisuose yra programinės aparatinės įrangos tikrinimo funkcija. Perrašant pagrindinio įrenginio programinę aparatinę įrangą atliekamas maišusis vertės patikrinimas, kad pamatytumėte, ar programinės aparatinės įrangos duomenys buvo keisti. Jei maišiojo tikrinimo vertė neatitinka, gaunamas įspėjamasis signalas ir programinė aparatinė įranga neperrašoma. Be to, kai įjungtas patobulintas apsaugos režimas, kiekvieną kartą, kai įjungiamas pagrindinis maitinimo šaltinis, atliekami maišiosios vertės patikrinimai. Jei maišiojo tikrinimo vertė neatitinka, gaunamas įspėjamasis signalas ir neleidžiama paleisti pagrindinio daugiafunkcio prietaiso įrenginio.
Dėl šių automatinio išsijungimo mechanizmų atakuotojui ypatingai sunku į daugiafunkcį prietaisą įterpti išnaudojimo kodą ir jį paleisti.
Dėl šių priežasčių KMI šiuo metu neplanuoja išleisti atnaujintos Specter ar Meltdown skirtos programinės aparatinės įrangos, nes rizika, kad bus atakuojami mūsų daugiafunkciai prietaisai, yra labai maža.
4. PP valdikliams Fiery ir Creo
Kadangi EFI Fiery ir Creo valdikliuose taip pat yra Intel procesoriai, juos paveikia Meltdown grėsmė. EFI paskelbė savo statusą savo viešoje interneto svetainėje ir per partnerių skelbimų lentą, nurodytą toliau.
Šiuo metu Creo apie tai nepateikė viešo komentaro, tačiau artimiausioje ateityje jie planuoja pateikti programinės įrangos pataisą.
5. Daugiafunkciai gaminiai, kuriuose yra pažeidžiami procesoriai
Office color: (C458/C558/C658), (C659/C759) Office B&W: (458e/558e/658e), (758/808/958) Šiuose biuro gaminiuose yra procesorius ARM Cortex-A15.
PP gaminiai; visuose PP gaminiuose yra pažeidžiami Intel procesoriai. 6. CPU pardavėjo informacija ARM: Grėsmė spekuliacinių procesorių talpyklos laiko skaičiavimo šalutinio kanalo mechanizmui Intel: Spekuliacinio vykdymo ir netiesioginio srities prognozavimo šalutiniame kanale analizės metodas 7. Nuorodos CERT/CC pažeidžiamumo pranešimas VU#584653 CPU aparatinei įrangai kyla grėsmė dėl atakų iš šalies NIST Nacionalinė grėsmių duomenų bazė
CVE-2017-5753 Išsami informacija CVE-2017-5715 Išsami informacija CVE-2017-5754 Išsami informacija
Meltdown ir Spectre