Prema trenutnim saznanjima, verovatnoća pretnje je izrazito niska za proizvode kompanije Konica Minolta. 1. Pregled (preuzet sa stranice Cert.org) CPU implementacije hardvera su ranjive na keš napade sa bočnih kanala. Ove ranjivosti su poznate kao Meltdown i Spectre. I Spectre i Meltdown koriste sposobnost izvlačenja podataka iz instrukcija koje su izvršene na CPU-u koristeći keš CPU-a kao bočni kanal. Ove napade su detaljno opisali Google Project Zero, Institut za primenjenu obradu podataka i komunikacije (IAIK) na Tehnološkom univerzitetu u Gracu (TU Graz) i Anders Fog.
Problemi su podeljeni u tri varijante:
2. Stepen ozbiljnosti ovih ranjivosti koji procenjuje CVSS v3, sistem bodovanja ranjivosti (Common Vulnerability Scoring System)
Napomena: Za objašnjenja vezana za CVSS, pogledajte first.org web site. Pošto se CVSS bodovanje povremeno ažurira, proverite najnoviji status na veb-stranici CVE-a. Dodatno, CVSS bodovanje može da se razlikuje zavisno od bezbednosne agencije.
3. Rizik po MFP-ove Trenutno ranjivost postoji samo kada se zlonamerni program pokrene na ciljanom uređaju, ako se pokrene, program može da pristupi podacima koji su sačuvani u memoriji koje bi sistem inače trebao da štiti (Memorija kernela operativnog sistema, memorija svakog procesa i memorija svake virtuelne mašine). Važno je znati da se podaci iz memorije ne mogu izložiti sa udaljenosti nekoj eksternoj mreži.
Nekoliko MFP-ova kompanije Konica Minolta sadrže procesore ARM ili Intel koji bi mogli biti zahvaćeni ranjivostima Meltdown i Spectre.
Da bi napadač mogao da iskoristi ovu ranjivost u MFP-u, neophodno je da pokrene zlonamerni program na ciljanoj mašini tako što će da ometa interni firmver.
MFP-i kompanije Konica Minolta dobili su bezbedonosni sertifikat ISO 15408 Common Criteria Security. Sertifikovani firmver ISO 15408 ima digitalni potpis kompanije Konica Minolta. Pre instalacije ažuriranog firmvera na MFP, autorizovani inženjer može da potvrdi digitalni potpis kompanije Konica Minolta da bi se osigurao integritet podataka.
Dodatno, ISO 15408 sertifikovani MFP-i sadrže funkciju za verifikaciju firmvera. Prilikom ponovnog ispisivanja firmvera glavne jedinice, pokreće se provera heš vrednosti radi provere ometanja podataka na firmveru. Ako se heš vrednosti ne poklapaju, pokreće se uzbuna i firmver se ne ispisuje ponovo. Dodatno, kada se omogući pojačani režim sigurnosti, provere heš vrednosti se sprovode svaki put kada je glavni izvor napajanja UKLJUČEN. Ako se heš vrednosti ne poklapaju, pokreće se uzbuna i pokretanje glavne jedinice MFP-a je zabranjeno.
Zbog ovih sigurnosnih mehanizama veoma je teško da napadač ugradi kod za iskorišćavanje u MFP i da ga pokrene.
Zbog ovih razloga KMI ne planira da trenutno pusti ažurirani firmver za Spectre i Meltdown jer je rizik od napada ovih ranjivosti na naše MFP-ove veoma nizak.
4. Za PP kontrolore, Fiery i Creo
Zato što EFI Fiery i Creo kontrolori takođe sadrže Intel CPU-ove, zahvaćeni su ranjivošću Meltdown. EFI je objavio status na njihovoj javnoj veb-stranici i preko partnerskog biltena koji je prikazan ispod.
Trenutno, Creo nema javnih komentara o ovome, ali će u budućnosti da obezbede zakrpu za softver.
5. MFP proizvodi koji sadrže pogođene procesore
Office color: (C458/C558/C658), (C659/C759) Office B&W: (458e/558e/658e), (758/808/958) Ovi kancelarijski proizvodi sadrže procesor ARM Cortex-A15.
PP proizvodi; Svi PP proizvodi sadrže pogođene Intel procesore. 6. Podaci CPU dobavljača ARM: Ranjivost spekulativnih procesora na mehanizam bočnog kanala sa vremenski podešenim kešom Intel: Spekulativno izvršenje i metoda analize bočnog kanala za predviđanja indirektnih grana 7. Reference CERT/CC Vulnerability Note VU#584653 CPU hardver ranjiv na napade sa bočnih kanala NIST Nacionalna baza podataka o ranjivosti
CVE-2017-5753 Detail CVE-2017-5715 Detail CVE-2017-5754 Detail
Meltdown i Spectre