Уязвимости Призрака Расплавления

Уязвимости распада и призрака в устройстве IDENTIKEY и виртуальном устройстве IDENTIKEY

Консультативный ID Васко-са-20180118-плавильно-призрак-Анджелес-ива

Номер ревизии 0,4

Дата выпуска 18 января 2018 г., 17:00 UTC + 1

Последнее обновление 19 января 2018 12:00 UTC + 1

Резюме

Уязвимости Meltdown и Spectre, которые затрагивают процессоры Intel, AMD и ARM, позволяют непривилегированным мошенническим процессам считывать память ядра и пользовательских программ, что может позволить вредоносным программам украсть пароли, криптографические ключи или другую конфиденциальную информацию.

Поскольку они используют уязвимые процессоры или, скорее всего, будут полагаться на них, продукты IDENTIKEY Appliance и IDENTIKEY Virtual Appliance подвержены этим уязвимостям. Тем не менее, риск эксплуатации низок.

Затронутые продукты

Следующие продукты OneSpan подвержены уязвимостям Meltdown и Spectre:

  • Устройство IDENTIKEY серии 3000, серии 5000, серии 7000
  • Виртуальное устройство IDENTIKEY серии 1000, серии 2000, серии 4000, серии 8000

Затронутые продукты

  • IDENTIKEY Appliance
  • IDENTIKEY Виртуальное устройство

Описание

Эксплуатация уязвимостей Meltdown и Spectre может быть осуществлена только с помощью специального вредоносного ПО, работающего либо на устройстве, либо на компьютере, на котором размещено виртуальное устройство. Такое вредоносное ПО должно быть установлено и запущено с использованием других уязвимостей. Типичный сценарий атаки предполагает, что злоумышленник должен пройти проверку подлинности и иметь право на выполнение кода.

IDENTIKEY Appliance не разрешает доступ к оболочке даже администраторам. Таким образом, маловероятно, что вредоносное ПО установлено и запущено, а вероятность его использования мала. Что касается виртуального устройства IDENTIKEY, вероятность его использования также зависит от безопасности хост-компьютера и гипервизора. Тем не менее, устройство обычно находится в локальной сети за брандмауэром и использует локальные средства управления безопасностью, такие как, например, аутентификация и контроль доступа.

Оценка серьезности

В приведенной ниже таблице указан уровень уязвимости CVSS 2.0 для уязвимостей Meltdown и Spectre в контексте устройств IDENTIKEY и IDENTIKEY Virtual Appliance.

Базовая оценка CVSS: 1,0

Вектор доступа

Сложность доступа Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
Местный Высокая Один частичный Никто Никто

 

CVSS Temporal Score: 8,0
уязвимостей Уровень исправления Сообщить об Уверенности
функциональная Официальное исправление подтвердил

 

Исправления продукта

Клиенты, использующие IDENTIKEY Appliance, должны применять пакет обновления IA версии 3.14.15, который исправит операционную систему устройства.

Клиенты, использующие IDENTIKEY Virtual Appliance, должны применять пакет обновления версии 3.14.15, применять исправления для операционной системы хоста, а также исправления для гипервизора (виртуальная среда VMWare, Citrix или Microsoft).

Место расположения

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance.

Ссылка

Официальный сайт об уязвимостях Meltdown и Spectre: https://meltdownattack.com/

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

 

Copyright © 2018 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

Уязвимости, связанные с распадом и призраками в устройстве IDENTIKEY и виртуальном приложении IDENTIKEY е