Januar 11, 2018
Perle Sicherheitslücken Veröffentliching: Meltdown und Spectre
Bremen, DE – 11, Januar 2018 – Perle Systems, ein globaler Hersteller sicherer Device-Networking-Hardware, hat bestätigt, dass seine Produkte generell nicht von CVE-2017-5753 und CVE-2017-5715, zusammenfassend als Spectre bekannt, oder CVE-2017-5754, als Meltdown bekannt, betroffen sind.
Die Meltdown-Schwachstelle erlaubt Angreifern die Hardwarebarrieren zwischen Speicher und Anwendungen, die auf dem Computer laufen, zu umgehen, was dem Angreifer Zugang zu Daten, Passwörtern und Kryptoschlüsseln verschafft.
Die Spectre-Schwachstelle bricht die Isolation zwischen Anwendungen, die ansonsten als fehlerfreie Programme erachtet werden würden. Dies veranlasst das Programm seine Geheimnisse und Daten anhand Verwendung anderer Prozesse innerhalb des Speichers freizugeben um auf die Anwendung zuzugreifen.
Um eine der Schwachstellen auszunutzen, muss der Angreifer in der Lage sein, einen handgemachten Code auf dem beeinträchtigten Gerät laufen zu lassen. Obwohl die Kombination des zugrundeliegenden Hauptprozessors mit dem Betriebssystem eines Produktes von diesen Schwachstellen beeinträchtigt werden kann, sind die meisten Produkte von Perle geschlossene Systeme, die dem Kunden nicht erlauben, individuelle Codes auf dem Gerät auszuführen, und sind daher nicht angreifbar. Es besteht kein Vektor um sie auszunutzen.
Perle IOLAN Serial Terminal Server sind standardmäßig geschlossene Systeme. Dennoch werden sie als möglicherweise angreifbar betrachtet, wenn ein Anwender anhand des Perle Software Development Kits einen eigenen, individuell geschrieben Code installiert hat, der einem nicht berechtigtem, lokalem Angreifer erlaubt, spekulative Ausführungsanweisungen auf modernen Mikroprozessor-Architekturen auszuführen um Seitenkanalinformation-Offenlegungsangriffe auszuführen.
Perle empfiehlt Kunden Device-Plug-Ins, die sie selber geschrieben und installiert haben, anhand der Perle SDK auf Schwachstellen zu überprüfen. Wenn Sie ein Geräte-Plug-In verwenden, das von Perle geliefert wurde, handelt es sich um ein geschlossenes System, das daher nicht angreifbar ist.