1. Apžvalga (cituojama iš Cert.org) CPU aparatūros įgyvendinimas yra pažeidžiamas talpyklos šoninių kanalų atakų. Šie pažeidžiamumai yra vadinami „Meltdown and Spectre“. Tiek „Spectre“, tiek „Meltdown“ pasinaudoja galimybe išgauti informaciją iš instrukcijų, kurios buvo įvykdytos procesoriuje, naudojant CPU talpyklą kaip šalutinį kanalą. Šias atakas išsamiai aprašo „Google Project Zero“, Graco technologijos universiteto (TU Gracas) Taikomosios informacijos apdorojimo ir komunikacijos institutas (IAIK) ir Andersas Foghas.
Klausimai suskirstyti į tris variantus:
2. Šių pažeidžiamumų laipsnis pagal „CVSS v3“, bendrą pažeidžiamumo vertinimo sistemą
Pastaba: Norėdami paaiškinti CVSS, žiūrėkite first.org web site. Kai CVSS balas gali būti retkarčiais atnaujinamas, patikrinkite naujausią būseną CVS svetainėje. Be to, kiekvienos apsaugos agentūros CVSS balas gali būti skirtingas.
3. MFP grėsmė Šiuo metu pažeidžiamumas egzistuoja tik tada, kai tiksliniame įrenginyje vykdoma kenkėjiška programa. Jei programa vykdoma, programa gali pasiekti atmintyje saugomus duomenis, kuriuos paprastai turėtų apsaugoti sistema (OS branduolio srities atmintis, kiekvieno proceso atmintis ir kiekvienos virtualios mašinos atmintis). Svarbu žinoti, kad atminties duomenys nuotoliniu būdu negali būti veikiami išorinio tinklo.
Keliose „Konica Minolta“ DFĮ yra ARM arba „Intel“ procesoriai, kuriuos gali paveikti „Meltdown“ ir „Spectre“ pažeidžiamumas.
Tam, kad užpuolikas galėtų išnaudoti šią DFP pažeidžiamumą, būtina vykdyti kenkėjišką programą tiksliniame kompiuteryje, sugadinant vidinę programinę-aparatinę įrangą.
„Konica Minolta“ daugiafunkciniai įrenginiai įgijo „ISO 15408 Common Criteria Security“ sertifikatą. „ISO 15408“ sertifikuota programinė įranga yra skaitmeniškai pasirašyta „Konica Minolta“. Prieš diegdami atnaujintą programinę aparatinę įrangą DFP, įgaliotasis techninės priežiūros inžinierius gali patikrinti „Konica Minolta“ skaitmeninį parašą, kad užtikrintų duomenų vientisumą.
Be to, ISO 15408 sertifikuotose DFĮ yra programinės įrangos tikrinimo funkcija. Perrašant pagrindinio įrenginio programinę-aparatinę įrangą, atliekama maišos vertės patikra, siekiant nustatyti, ar nepažeisti programinės įrangos duomenys. Jei maišos reikšmės nesutampa, išduodamas įspėjimas ir programinė įranga neperrašoma. Be to, įjungus patobulintą saugos režimą, maišos vertės tikrinimai atliekami kiekvieną kartą įjungiant pagrindinį energijos šaltinį. Jei maišos vertės nesutampa, išleidžiamas įspėjimas ir uždrausti pagrindinį DFP įrenginį draudžiama.
Dėl šių saugiai veikiančių mechanizmų užpuolikui yra nepaprastai sunku įterpti išnaudojantį kodą į DFP ir jį vykdyti.
Dėl šių priežasčių KMI šiuo metu neplanuoja išleisti atnaujintos programinės įrangos, skirtos „Spectre“ ar „Meltdown“, nes labai maža šio pažeidžiamumo rizika užpulti mūsų MFP.
4. PP kontrolieriams, Fiery ir Creo
Kadangi EFI Fiery ir Creo valdikliuose taip pat yra „Intel“ centrinių procesorių, juos veikia „Meltdown“ pažeidžiamumas. EFI paskelbė apie statusą savo viešoje svetainėje ir per partnerio biuletenį, parodytą žemiau.
Šiuo metu „Creo“ apie tai viešai nekomentuoja, tačiau artimiausiu metu jie ketina pateikti programinės įrangos pataisą.
5. MFP produktai, kuriuose yra paveikti procesoriai
Office color: (C458/C558/C658), (C659/C759) Office B&W: (458e/558e/658e), (758/808/958) Šiuose biuro gaminiuose yra ARM Cortex-A15 procesorius. PP produktai; Visuose PP produktuose yra paveikti „Intel“ procesoriai. 6. CPU pardavėjo informacija ARM: Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism Intel: Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method 7. Šaltiniai CERT/CC Vulnerability Note VU#584653 NIST National Vulnerability Database
CVE-2017-5753 Detail CVE-2017-5715 Detail CVE-2017-5754 Detail
Meltdown and Spectre