Informationen zur Angreifbarkeit der Toradex System on Modules mittels Speculative Side Channel Attacks aka Meltdown und Spectre

Freitag, 19. Januar 2018

Forscher von Google entdeckten eine Sicherheitslücke in vielen modernen Prozessoren, durch die Programme auf geschützte Daten zugreifen könnte. Bestimmte Software kann so die Zugriffsbeschränkungen des Speichers umgehen und möglicherweise sensitive Daten (z.B Passwörter) auslesen.

Es existieren drei verschiedene Variationen: CVE-2017-5753 und CVE-2017-5715 namens “Spectre” aund CVE-2017-5754, bekannt als “Meltdown”.
Weitere Informationen finden Sie unter https://spectreattack.com/

Meltdown and Spectre

Ist mein System on Module von Toradex betroffen?

Toradex Products Arm Core Variant 1
SPECTRE
CVE-2017-5753
Variant 2
SPECTRE
CVE-2017-5715
Variant 3
MELTDOWN
CVE-2017-5754
Colibri VF50
Colibri VF61
Cortex®-A5 Nicht betroffen Nicht betroffen Nicht betroffen
Colibri iMX6ULL
Colibri iMX7
Cortex®-A7 Nicht betroffen Nicht betroffen Nicht betroffen
Colibri iMX6S
Colibri iMX6DL
Colibri T30
Colibri T20
Apalis iMX6D
Apalis iMX6Q
Apalis T30
Cortex®-A9 Betroffen Betroffen Nicht betroffen
Apalis TK1 Cortex®-A15 Betroffen Betroffen Nicht betroffen
Colibri PXA270
Colibri PXA300
Colibri PXA310
Colibri PXA320
XScale® Nicht betroffen Nicht betroffen Nicht betroffen

Die Cortex®-M4 Cores auf den Colibri VF61, Colibri iMX7 und Apalis TK1 sind nicht betroffen.

Was unternimmt Toradex, um die Sicherheitslücken zu patchen?

Die Schwachstellen können via Software gepatcht werden. Da Arm Cores betroffen sind, arbeitet hauptsächlich Arm® an einer Lösung. Die aktuellsten Informationen finden Sie unter https://developer.arm.com/support/security-update

Toradex arbeitet mit NXP® und NVIDIA® zusammen, um die Software Patches in den Linux Board Support Packages (BSPs) von Toradex zu integrieren.

NVIDIA stellt weitere Informationen über den Status des TK1 SoC zur Verfügung: http://nvidia.custhelp.com/app/answers/detail/a_id/4616

Toradex steht mit Microsoft in Kontakt bezüglich den Patches für Windows Embedded Compact. Wir arbeiten an einer Lösung und stellen baldmöglichst Updates zur Verfügung.

Ist mein Produkt gefährdet?

Um die Sicherheitslücken zu testen, muss eine sorgfältig programmierte Malware auf das System geladen werden. Auf vielen Embedded Systemen kontrolliert OEM, welche Software auf dem System laufen darf, was das Sicherheitsrisiko reduziert. Die grosse Vielfalt durch Customization und die Produktion von geringen Mengen von bestimmten Embedded Systemen machen eine grosse und allgemeine Attacke unwahrscheinlich. Sie müssen deshalb die Gefährdung für Ihr spezifisches Produkt und dessen Verwendung abschätzen. Generell empfiehlt es sich, nur authentifizierte Software von überprüften Herstellern auszuführen.

Weitere Informationen finden Sie in unserem Developer Center.

Falls Sie noch Fragen haben, kontaktieren Sie uns bitte via Community, via Support Email oder telefonisch in Ihrem lokalen Toradex Office.

#Marvell® PXA #NXP® i.MX6ULL #NXP®/Freescale i.MX6 #NXP®/Freescale i.MX7 #NXP®/Freescale Vybrid™ #Security Notification