Udostępnij przez

Azure Sphere CVEs

  • Artykuł

Celem firmy Microsoft jest nagradzanie badaczy zabezpieczeń, którzy interesują się usługą Azure Sphere w zakresie znajdowania potencjalnych luk w zabezpieczeniach i raportowania ich w sposób odpowiedzialny zgodnie z zasadą skoordynowanego ujawniania luk firmy Microsoft i programem Microsoft Azure Bounty. Zespół Azure Sphere przyjmuje do wiadomości i potwierdza społeczność zajmującą się badaniami nad zabezpieczeniami za swoją pracę oraz pomaga w zapewnieniu bezpieczeństwa naszego rozwiązania w czasie.

Chcemy, aby nasze ulepszenia zabezpieczeń były przejrzyste. Współpracujemy z programem CVE w celu publikowania typowych luk w zabezpieczeniach (CVE) w przypadku luk w zabezpieczeniach, które zostały naprawione w bieżących lub poprzednich wersjach systemu operacyjnego Azure Sphere.

Wpływ publikowania CVE na klientów

CvEs dla systemu operacyjnego są publikowane tylko po udostępnieniu poprawki. Każde urządzenie z systemem Azure Sphere i połączonym z Internetem jest automatycznie aktualizowane. Dlatego urządzenia z najnowszą wersją są zawsze chronione. W przypadku urządzeń, które są nowe lub nie mają połączenia z Internetem przez jakiś czas (na przykład gdy wersja systemu operacyjnego jest starsza niż wersja systemu operacyjnego zawierająca poprawkę), zalecamy podłączenie urządzenia do bezpiecznej, prywatnej sieci lokalnej z dostępem do Internetu i umożliwienie automatycznej aktualizacji urządzenia.

Zasady publikowania CVE

Cve mogą być publikowane z powodu luk w zabezpieczeniach systemu operacyjnego Azure Sphere, które można wykorzystać "po wyjętym pudełku", przez dłuższy czas w trybie offline lub przed nawiązaniem połączenia z usługą zabezpieczeń Azure Sphere. Luki w zabezpieczeniach aplikacji klientów nie są dostępne w przypadku przypisywania CVE. Odpowiedzialność za oprogramowanie innych firm spoczywa na odpowiednim producencie.

Typy luk, dla których publikujemy CVE, można opisać na trzy sposoby:

  • Wpływ wyprzedzający: Luki w zabezpieczeniach związane z wyłączeniem urządzenia Azure Sphere i niewykonywaniem funkcji, która mogłaby zostać wykorzystana podczas konfigurowania i konfigurowania urządzenia.
  • Niewidoczny wpływ: Luki w zabezpieczeniach związane z aktywnym działaniem funkcji na urządzeniu Azure Sphere, ale nie są połączone z usługą Azure Sphere Security w przypadku aktualizacji, które mogłyby zostać wykorzystane bez zakłócania podstawowej funkcji urządzenia.
  • Destrukcyjny wpływ: Luki w zabezpieczeniach uniemożliwiające urządzeniu Azure Sphere automatyczne otrzymywanie aktualizacji lub wyzwalające wycofanie aktualizacji.

Zawartość cves w usłudze Azure Sphere

Cves dla Azure Sphere składają się z krótkiego opisu i wyniku opartego na systemie oceny typowych luk (CVSS),ocenie indeksu możliwości wykorzystania, często zadawanych pytaniach specyficznych dla usługi Azure Sphere oraz potwierdź to finderowi, który go zgłosił. Ta zawartość jest wymagana we wszystkich cve i jest dołączona do wszystkich CVE dla produktów firmy Microsoft.

Po opublikowaniu cves Azure Sphere

Rekordy CVE zostaną opublikowane w drugi wtorek miesiąca (czyli we wtorek poprawka microsoftowa) po udostępnieniu poprawki klientom. Oczekujemy, że cve będą publikowane nieregularnie za każdym razem, gdy zostanie nam zgłoszona luka w zabezpieczeniach, będą przestrzegać opisanych tutaj zasad i zostaną naprawione w najnowszej dostępnej wersji systemu operacyjnego Azure Sphere. Nie opublikujemy CVE, zanim poprawka zostanie publicznie dostępna.

Jak znaleźć cve usługi Azure Sphere

Aby znaleźć listę wszystkich opublikowanych cve dla Azure Sphere, użyj słowa kluczowego "Sphere" w przewodniku aktualizacji zabezpieczeń.

Opublikowane cves Azure Sphere są również wymienione w co nowego dla wydania, w którym luka została naprawiona.