Your browser either does not support JavaScript or you have turned JavaScript off.

Рекомендация Zyxel по защите от атак Meltdown и Spectre

Компания Zyxel знает о недавно обнаруженных потенциальных атаках side-channel на центральные процессоры современных компьютеров. Эти уязвимости идентифицированы в US-CERT Vulnerability Note VU#584653 и их идентификаторы (ID) приведены ниже в Таблице 1. Эти атаки также называются Meltdown и Spectre.


С чем связаны эти уязвимости?

Эти уязвимости связаны с аппаратной архитектурой центрального процессора (CPU), которая позволяет при атаке извлекать информацию из команд, которые CPU выполнил, используя кэш-память CPU в качестве side-channel. Использование этих уязвимостей может привести к эскалации привилегий и утечкам информации.

В Таблице 1 перечислены три варианта атак.

Таблица 1

Тип атаки Идентификаторы CVE ID Известна под названием
Bounds check bypass CVE-2017-5753 Spectre attack
Branch target injection CVE-2017-5715 Spectre attack
Rouge data cache load CVE-2017-5754 Meltdown attack

Влияние на продукты и сервисы Zyxel

Исследователи утверждают, что наибольшую опасность атаки представляют для систем с «несколькими жильцами» («multi-tenancy»), например, для операционной системы, серверы или настольные компьютеры, обслуживающих нескольких пользователей. Более того, для использования любой из трех уязвимостей атакующему нужно установить и запустить на компьютере жертвы недоверенный (untrusted) код.

Поскольку оборудование Zyxel работает с использованием проприетарных операционных систем и может выполнять только доверенный (trusted) и только в штатных условиях, то злоумышленники не смогут использовать эти уязвимости при осуществляемых через сеть атаках на продукты Zyxel с применением этих уязвимостей. Для облачных сервисов Zyxel наш провайдер облачной инфраструктуры уже установил в ней патчи для защиты от этих атак. Эти факты дает основание утверждать, что атаки Meltdown и/или Spectre представляют опасность только в том случае, если они сочетаются с другой уязвимостью локального или удаленного выполнения кода и при условии, что такая уязвимость существует на потенциально затронутых продуктах Zyxel и она успешно используется.

Эта информация дает основание утверждать, что эти атаки не представляют серьезного риска для продуктов и сервисов Zyxel и поэтому нет необходимости предпринимать какие-либо срочные меры защиты от этих атак.


Как обеспечить защиту от уязвимостей?

Хотя мы уверены, что риск этих атак на продукты Zyxel минимален, мы настоятельно рекомендуем нашим клиентам установить на их устройства новейшую версию микрокода для обеспечения максимальной защиты. Для уменьшения риска атак Meltdown и Spectre и улучшения ваших ПК и смартфонов следует обновить их операционные системы до последней версии.

Zyxel обновит эту рекомендацию когда поступит новая информация.


Контактная информация

Если вам нужна дополнительная помощь, то обратитесь в местную службу поддержки или торговому представителю. Если вы хотите сообщить о уязвимости, то напишите по адресу security@zyxel.com.tw


Ссылки

US-CERT https://www.kb.cert.org/vuls/id/584653


История версий

Первая версия 11.01.2018