Praeguste teadmiste põhjal on Konica Minolta toodete ohu tõenäosus äärmiselt väike. 1. ülevaade (tsiteeritud Cert.org) Protsessori riistvara rakendused on vahemälu külgkanali rünnakute suhtes haavatavad. Neid haavatavusi nimetatakse Meltdown and Specter. Nii Specter kui ka Meltdown kasutavad ära võimaluse eraldada teavet juhistest, mis on täide viidud protsessoril, kasutades CPU vahemälu külgkanalina. Neid rünnakuid on üksikasjalikult kirjeldanud Grazi Tehnikaülikooli (TLÜ Graz) rakendusliku teabe töötlemise ja kommunikatsiooni instituudi (IAIK) Google Project Zero ja Anders Fogh.
Teemad on jagatud kolmeks variandiks:
2. Severity score of these vulnerabilities by CVSS v3, Common Vulnerability Scoring System
Märkus: CVSS-i selgitusi leiate veebisaidilt first.org. Kuna CVSS-i skoori võib aeg-ajalt värskendada, kontrollige uusimat olekut CVE veebisaidil. Lisaks võib CVSS-i skoor olla iga turvaagentuuri jaoks erinev.
3. MFP-de risk Sel ajal on haavatavus ainult siis, kui sihtseadmel käivitatakse pahatahtlik programm. Kui see käivitatakse, pääseb programm juurde mällu salvestatud andmetele, mida süsteem peaks tavaliselt kaitsma (OS-i kerneli piirkonna mälu, iga protsessi mälu ja iga virtuaalse masina mälu). Oluline on teada, et mälu andmeid ei saa välise võrguga kaugelt paljastada.
Mitmed Konica Minolta MFP-d sisaldavad ARM- või Inteli-protsessoreid, mida Meltdown ja Specter haavatavus võib mõjutada.
Selleks, et ründaja saaks MFP-des seda haavatavust ära kasutada, tuleb sisemisele püsivarale manipuleerides käivitada pahatahtlik programm sihtmasinas.
Konica Minolta MFP-d on saanud ISO 15408 ühiste kriteeriumide turvalisuse sertifikaadi. Konica Minolta on digitaalselt allkirjastanud ISO 15408 sertifikaadiga püsivara. Enne värskendatud püsivara installimist MFP-le saab volitatud hooldusinsener kontrollida andmete terviklikkust Konica Minolta digitaalallkirjaga.
Lisaks sisaldavad ISO 15408 sertifikaadiga MFP-d püsivara kontrollimise funktsiooni. Põhiüksuse püsivara ümberkirjutamisel kontrollitakse räsiväärtuse kontrollimiseks, kas püsivara andmeid on rikutud. Kui räsiväärtused ei kattu, antakse märguanne ja püsivara ei kirjutata ümber. Lisaks, kui tõhustatud turvarežiim on lubatud, kontrollitakse räsiväärtuse väärtusi iga kord, kui peamine toiteallikas sisse lülitatakse. Kui räsiväärtused ei kattu, antakse märguanne ja MFP-põhiseadme käivitamine on keelatud.
Nende tõrkekindlate mehhanismide tõttu on ründajal äärmiselt keeruline manustada ekspluateeriv kood MFP-sse ja seda käivitada.
Nendel põhjustel ei plaani KMI praegu Spectre'i või Meltdowni värskendatud püsivara välja anda, kuna selle haavatavuse oht meie MFP-dele rünnata on väga väike.
4. PP kontrolöride jaoks Fiery ja Creo
Kuna EFI Fiery ja Creo kontrollerid sisaldavad ka Inteli protsessoreid, mõjutab neid Meltdown'i haavatavus. EFI teatas staatusest nende avalikul veebisaidil ja allpool toodud partnerbülletäänis.
Praegu pole Creol selle kohta avalikke kommentaare, kuid nad kavatsevad lähiajal tarkvarapatarei pakkuda.
5. MFP-tooted, mis sisaldavad mõjutatud töötlejaid
Kontori värv: (C458 / C558 / C658), (C659 / C759) Büroo mustvalge: (458e / 558e / 658e), (758/808/958) Need kontoritooted sisaldavad ARM Cortex-A15 protsessorit. PP tooted; Kõik PP tooted sisaldavad mõjutatud Inteli protsessoreid. 6. Protsessori müüja teave ARM: Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism Intel: Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method 7. Viited CERT/CC Vulnerability Note VU#584653 CPU riistvara haavatav külgkanali rünnakute suhtes NIST riiklik haavatavuse andmebaas
CVE-2017-5753 Detail CVE-2017-5715 Detail CVE-2017-5754 Detail
Meltdown and Spectre