Vulnerabilidades do espectro de fusão

Vulnerabilidades de fusão e espectro no dispositivo IDENTIKEY e no dispositivo virtual IDENTIKEY

ID do comunicado Vasco-sa-20180118-meltdown-espectro-ia-iva

Número de revisão 0,4

Data de lançamento 18 de janeiro de 2018 17:00 UTC + 1

Última atualização 19 de janeiro de 2018 às 12:00 UTC + 1

Resumo

As vulnerabilidades Meltdown e Spectre, que afetam os processadores Intel, AMD e ARM, permitem que processos invasores não privilegiados leiam a memória do kernel e dos programas do usuário, o que pode permitir que o malware roube senhas, chaves criptográficas ou outras informações confidenciais.

Como eles estão usando ou têm grande probabilidade de confiar em processadores vulneráveis, os produtos IDENTIKEY Appliance e IDENTIKEY Virtual Appliance estão expostos a essas vulnerabilidades. No entanto, o risco de exploração é baixo.

Produtos impactados

Os seguintes produtos OneSpan são afetados pelas vulnerabilidades Meltdown e Spectre:

  • IDENTIKEY Appliance Série 3000, Série 5000, Série 7000
  • Dispositivo virtual IDENTIKEY Série 1000, Série 2000, Série 4000, Série 8000

Produtos afetados

  • IDENTIKEY Appliance
  • Dispositivo virtual IDENTIKEY

Descrição

A exploração das vulnerabilidades Meltdown e Spectre só pode ser feita por malware dedicado em execução no dispositivo ou no computador que hospeda o dispositivo virtual. Esse malware deve ter sido instalado e executado, explorando outras falhas de segurança. Um cenário de ataque típico envolve que o invasor seja autenticado e tenha o direito de executar o código.

O IDENTIKEY Appliance não permite acesso ao shell, nem mesmo para administradores. Portanto, é improvável que o malware seja instalado e executado e a probabilidade de exploração seja baixa. Em relação ao dispositivo virtual IDENTIKEY, a probabilidade de exploração depende ainda mais da segurança do computador host e do hipervisor. No entanto, o dispositivo normalmente fica em uma rede local atrás de um firewall e se beneficia dos controles de segurança implementados localmente, como por exemplo, autenticação e controle de acesso.

Pontuação de gravidade

A tabela abaixo indica a pontuação de vulnerabilidade CVSS 2.0 das vulnerabilidades Meltdown e Spectre no contexto do IDENTIKEY Appliance e do IDENTIKEY Virtual Appliance.

Pontuação Base CVSS: 1.0

Vetor de acesso

Complexidade de acesso Autenticação Impacto da confidencialidade Impacto na integridade Impacto na disponibilidade
Local Alto solteiro Parcial Nenhum Nenhum

 

Pontuação temporal CVSS: 8.0
Exploração Nível de correção Relatório de Confiança
Funcional Correção oficial Confirmado

 

Correções do produto

Os clientes que usam o IDENTIKEY Appliance devem aplicar o pacote de atualização IA versão 3.14.15, que corrigirá o sistema operacional do dispositivo.

Os clientes que usam o IDENTIKEY Virtual Appliance devem aplicar o pacote de atualização versão 3.14.15, aplicar patches no sistema operacional do host e também no hypervisor (ambiente virtual VMWare, Citrix ou Microsoft).

Localização

Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance.

Referência

Site oficial sobre as vulnerabilidades Meltdown e Spectre: https://meltdownattack.com/

Contrato

Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.

 

Direitos autorais © 2018 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

Vulnerabilidades de fusão e espectro no dispositivo IDENTIKEY e no dispositivo virtual IDENTIKEY e