Produktų pažeidžiamumas

Remiantis dabartinėmis žiniomis, „Konica Minolta“ gaminiams grėsmės tikimybė yra labai maža.



1. Apžvalga (cituojama iš Cert.org)

CPU aparatūros įgyvendinimas yra pažeidžiamas talpyklos šoninių kanalų atakų. Šie pažeidžiamumai yra vadinami „Meltdown and Spectre“. Tiek „Spectre“, tiek „Meltdown“ pasinaudoja galimybe išgauti informaciją iš instrukcijų, kurios buvo įvykdytos procesoriuje, naudojant CPU talpyklą kaip šalutinį kanalą. Šias atakas išsamiai aprašo „Google Project Zero“, Graco technologijos universiteto (TU Gracas) Taikomosios informacijos apdorojimo ir komunikacijos institutas (IAIK) ir Andersas Foghas.

Klausimai suskirstyti į tris variantus:
 

Variant 1 (CVE-2017-5753, Spectre):
Bounds check bypass
Variant 2 (CVE-2017-5715, also Spectre):
Branch target injection
Variant 3 (CVE-2017-5754, Meltdown):
Rogue data cache load, memory access permission check performed after kernel memory read

 

2. Šių pažeidžiamumų laipsnis pagal „CVSS v3“, bendrą pažeidžiamumo vertinimo sistemą

Base Score:
5.6 Medium
Vector:
AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N (legend)
Impact Score:
4.0
Exploitability Score:
1.1
 
Base Score:
5.6 Medium
Vector:
AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N (legend)
Impact Score:
4.0
Exploitability Score:
1.1
 
Base Score:
5.6 Medium
Vector:
AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N (legend)
Impact Score:
4.0
Exploitability Score:
1.1


Pastaba: Norėdami paaiškinti CVSS, žiūrėkite  first.org web site. Kai CVSS balas gali būti retkarčiais atnaujinamas, patikrinkite naujausią būseną CVS svetainėje. Be to, kiekvienos apsaugos agentūros CVSS balas gali būti skirtingas.

3.  MFP grėsmė

Šiuo metu pažeidžiamumas egzistuoja tik tada, kai tiksliniame įrenginyje vykdoma kenkėjiška programa. Jei programa vykdoma, programa gali pasiekti atmintyje saugomus duomenis, kuriuos paprastai turėtų apsaugoti sistema (OS branduolio srities atmintis, kiekvieno proceso atmintis ir kiekvienos virtualios mašinos atmintis). Svarbu žinoti, kad atminties duomenys nuotoliniu būdu negali būti veikiami išorinio tinklo.

Keliose „Konica Minolta“ DFĮ yra ARM arba „Intel“ procesoriai, kuriuos gali paveikti „Meltdown“ ir „Spectre“ pažeidžiamumas.

Tam, kad užpuolikas galėtų išnaudoti šią DFP pažeidžiamumą, būtina vykdyti kenkėjišką programą tiksliniame kompiuteryje, sugadinant vidinę programinę-aparatinę įrangą.

„Konica Minolta“ daugiafunkciniai įrenginiai įgijo „ISO 15408 Common Criteria Security“ sertifikatą. „ISO 15408“ sertifikuota programinė įranga yra skaitmeniškai pasirašyta „Konica Minolta“. Prieš diegdami atnaujintą programinę aparatinę įrangą DFP, įgaliotasis techninės priežiūros inžinierius gali patikrinti „Konica Minolta“ skaitmeninį parašą, kad užtikrintų duomenų vientisumą.

Be to, ISO 15408 sertifikuotose DFĮ yra programinės įrangos tikrinimo funkcija. Perrašant pagrindinio įrenginio programinę-aparatinę įrangą, atliekama maišos vertės patikra, siekiant nustatyti, ar nepažeisti programinės įrangos duomenys. Jei maišos reikšmės nesutampa, išduodamas įspėjimas ir programinė įranga neperrašoma. Be to, įjungus patobulintą saugos režimą, maišos vertės tikrinimai atliekami kiekvieną kartą įjungiant pagrindinį energijos šaltinį. Jei maišos vertės nesutampa, išleidžiamas įspėjimas ir uždrausti pagrindinį DFP įrenginį draudžiama.

Dėl šių saugiai veikiančių mechanizmų užpuolikui yra nepaprastai sunku įterpti išnaudojantį kodą į DFP ir jį vykdyti.

Dėl šių priežasčių KMI šiuo metu neplanuoja išleisti atnaujintos programinės įrangos, skirtos „Spectre“ ar „Meltdown“, nes labai maža šio pažeidžiamumo rizika užpulti mūsų MFP.

4. PP kontrolieriams, Fiery ir Creo

Kadangi EFI Fiery ir Creo valdikliuose taip pat yra „Intel“ centrinių procesorių, juos veikia „Meltdown“ pažeidžiamumas. EFI paskelbė apie statusą savo viešoje svetainėje ir per partnerio biuletenį, parodytą žemiau.

EFI Smart Support News (public)
Intel CPU Security Vulnerabilities: Spectre, Meltdown
Fiery Partner Bulletin (for authorized members only)
Intel CPU Security Vulnerabilities: Spectre, Meltdown


Šiuo metu „Creo“ apie tai viešai nekomentuoja, tačiau artimiausiu metu jie ketina pateikti programinės įrangos pataisą.

5. MFP produktai, kuriuose yra paveikti procesoriai

Office color: (C458/C558/C658), (C659/C759)
Office B&W: (458e/558e/658e), (758/808/958)


Šiuose biuro gaminiuose yra ARM Cortex-A15 procesorius.

PP produktai; Visuose PP produktuose yra paveikti „Intel“ procesoriai.


6. CPU pardavėjo informacija

ARM: Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism

Intel: Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method


7. Šaltiniai

CERT/CC Vulnerability Note VU#584653


NIST National Vulnerability Database

CVE-2017-5753 Detail

CVE-2017-5715 Detail

CVE-2017-5754 Detail


Meltdown and Spectre