W oparciu o aktualną wiedzę prawdopodobieństwo wystąpienia zagrożeń jest bardzo niskie w przypadku produktów firmy Konica Minolta. 1. Przegląd (cytowane z Cert.org ) Wdrożenia sprzętowe procesora są podatne na ataki typu side-channel. Te luki w zabezpieczeniach są określane jako Meltdown i Spectre. Zarówno Spectre, jak i Meltdown wykorzystują możliwość wyodrębniania informacji z instrukcji wykonywanych na procesorze przy użyciu pamięci podręcznej procesora jako kanału bocznego. Ataki te są szczegółowo opisane przez Google Project Zero, Institute of Applied Information Processing and Communications (IAIK) w Graz University of Technology (TU Graz) oraz przez Andersa Fogha.
Problemy są podzielone na trzy warianty:
2. Ocena ważności luk w zabezpieczeniach wg CVSS v3 — Common Vulnerability Scoring System
Uwaga: Wyjaśnienie CVSS znajduje sięna stronie internetowej first.org. Ponieważ ocenę CVSS można od czasu do czasu aktualizować, sprawdź jej najnowszy status w witrynie CVE. Ponadto wynik CVSS może być inny dla każdej agencji bezpieczeństwa.
3. Ryzyko związane z urządzeniami wielofunkcyjnymi Obecnie luka w zabezpieczeniach występuje tylko wtedy, gdy na urządzeniu docelowym zostanie uruchomiony złośliwy program mogący uzyskać dostęp do danych przechowywanych w pamięci, które powinny być zazwyczaj chronione przez system (pamięć obszaru jądra systemu operacyjnego, pamięć każdego procesu i pamięć każdej maszyny wirtualnej). Ważne jest, aby wiedzieć, że danych z pamięci nie można zdalnie udostępniać w sieci zewnętrznej.
Niektóre urządzenia wielofunkcyjne firmy Konica Minolta zawierają procesory ARM lub Intel, które mogą być zagrożone przez lukę w zabezpieczeniach Meltdown i Spectre.
Aby osoba atakująca mogła wykorzystać tę usterkę w urządzeniach wielofunkcyjnych, konieczne jest uruchomienie na komputerze docelowym niebezpiecznego programu poprzez ingerencję w wewnętrzne oprogramowanie sprzętowe.
Urządzenia wielofunkcyjne firmy Konica Minolta uzyskały certyfikat ISO 15408 Common Criteria Security. Oprogramowanie sprzętowe z certyfikatem ISO 15408 jest podpisane cyfrowo przez firmę Konica Minolta. Przed zainstalowaniem zaktualizowanego oprogramowania sprzętowego w urządzeniu wielofunkcyjnym autoryzowany inżynier serwisu może zweryfikować podpis cyfrowy firmy Konica Minolta w celu zapewnienia integralności danych.
Ponadto urządzenia wielofunkcyjne z certyfikatem ISO 15408 mają funkcję weryfikacji oprogramowania sprzętowego. Podczas przeprogramowywania oprogramowania sprzętowego jednostki głównej uruchamiany jest test wartości skrótu w celu sprawdzenia, czy dane oprogramowania sprzętowego zostały zmienione. Jeśli wartości skrótu nie są zgodne, generowany jest alert, a oprogramowanie sprzętowe nie jest ponownie zapisywane. Ponadto po włączeniu zaawansowanego trybu zabezpieczeń sprawdzanie wartości skrótu jest wykonywane za każdym razem, gdy główne źródło zasilania jest włączone. Jeśli wartości skrótu nie są zgodne, wyświetlany jest komunikat ostrzegawczy i uruchamianie głównego urządzenia wielofunkcyjnego jest zabronione.
Ze względu na niezawodne mechanizmy osobie atakującej jest bardzo trudno osadzić kod wykrywający i uruchomić go w urządzeniu wielofunkcyjnym.
Z tego powodu KMI nie planuje obecnie opublikowania zaktualizowanego oprogramowania sprzętowego dla Spectre lub Meltdown ze względu na bardzo niskie ryzyko wystąpienia tej luki w zabezpieczeniach urządzeń wielofunkcyjnych.
4. Dla kontrolerów PP, Fiery i Creo
Kontrolery EFI Fiery i Creo zawierają również procesory Intel, dlatego luka Meltdown powoduje ich uszkodzenie. Firma EFI ogłosiła swój status na publicznej stronie internetowej i poprzez biuletyn dla partnerów przedstawiony poniżej.
Obecnie firma Creo nie podaje żadnych publicznych komentarzy na ten temat, ale w najbliższej przyszłości będzie dostarczać poprawki do oprogramowania.
5. Produkty MFP zawierające wadliwe procesory
Biurowe kolorowe: (C458/C558/C658), (C659/C759) Biurowe czarno-białe: (458e/558e/658e), (758/808/958) Te produkty biurowe są wyposażone w procesor ARM Cortex-A15.
Produkty PP; wszystkie produkty PP zawierają procesory Intel, których dotyczy problem. 6. Informacje o dostawcy procesora ARM: Luka w zabezpieczeniach procesorów spekulacyjnych w mechanizmie synchronizacji pamięci podręcznej kanału bocznego Intel: Metoda analizy kanału po stronie prognozy wykonania spekulacyjnego i pośredniego przewidywania gałęzi 7. Odniesienia Uwaga dotycząca luki w zabezpieczeniach CERT/CC VU#584653 Sprzęt procesora podatny na ataki typu side-channel Baza danych luk w zabezpieczeniach NIST
CVE-2017-5753 — szczegóły CVE-2017-5715 — szczegóły CVE-2017-5754 — szczegóły
Meltdown i Spectre