Share via

Azure Sphere CVEs

  • Artigo

O objetivo da Microsoft é recompensar os investigadores de segurança que têm interesse no Azure Sphere por encontrarem potenciais vulnerabilidades e denunciá-las de forma responsável, de acordo com o princípio de Divulgação Coordenada de Vulnerabilidades da Microsoft e o Programa Microsoft Azure Bounty. A equipa do Azure Sphere saúda e reconhece a comunidade de investigação de segurança pelo seu trabalho e ajuda a manter a nossa solução segura ao longo do tempo.

Queremos ser transparentes sobre as nossas melhorias de segurança. Estabelecemos uma parceria com o Programa CVE para publicar vulnerabilidades e exposições comuns (CVEs) para vulnerabilidades que foram corrigidas nas versões atuais ou anteriores do SO do Azure Sphere.

Impacto do cliente na publicação de CVEs

Os CVEs para o SO só são publicados quando está disponível uma correção. Qualquer dispositivo que execute o Azure Sphere e esteja ligado à Internet é atualizado automaticamente. Por conseguinte, os dispositivos com a versão mais recente estão sempre protegidos. Para dispositivos novos ou que não estão ligados à Internet há algum tempo (por exemplo, quando a versão do SO é mais antiga do que a versão do SO que contém a correção), recomendamos que ligue o dispositivo a uma rede local segura e privada com acesso à Internet e permita que o dispositivo se atualize automaticamente.

Princípios para publicar CVEs

Os CVEs podem ser publicados para vulnerabilidades no SO do Azure Sphere que podem ser exploradas "fora da caixa", num período offline prolongado ou antes de ser efetuada uma ligação ao Serviço de Segurança do Azure Sphere. As vulnerabilidades nas aplicações do cliente estão fora do âmbito da atribuição de um CVE. Os CVEs para software de terceiros são da responsabilidade do respetivo fabricante.

Os tipos de vulnerabilidades para os quais publicamos CVEs podem ser descritos de três formas:

  • Impacto Preventivo: Vulnerabilidades relacionadas com o momento em que um dispositivo do Azure Sphere é desligado e não executa uma função que pode ser explorada ao trazer o dispositivo para cima e configurá-lo.
  • Impacto Invisível: Vulnerabilidades relacionadas com o momento em que um dispositivo do Azure Sphere está a executar ativamente uma função, mas não está ligado ao serviço de Segurança do Azure Sphere para atualizações que poderiam ser exploradas sem interromper a função do dispositivo primário.
  • Impacto Disruptivo: Vulnerabilidades que impediriam que um dispositivo do Azure Sphere recebesse automaticamente uma atualização ou acionaria uma reversão da atualização.

Conteúdos dos CVEs do Azure Sphere

Os CVEs para o Azure Sphere consistem numa breve descrição e pontuação com base no sistema de Classificação de Vulnerabilidades Comuns (CVSS), uma avaliação do índice de explorabilidade, uma FAQ específica do Azure Sphere e um reconhecimento ao finder que o comunicou. Este conteúdo é necessário em cada CVE e está incluído em todos os CVEs para produtos Microsoft.

Quando os CVEs do Azure Sphere são publicados

Os registos CVE serão publicados na segunda terça-feira do mês (também conhecido como Microsoft Patch Tuesday) depois de ter sido disponibilizada uma correção aos clientes. Esperamos que os CVEs sejam publicados de forma irregular sempre que nos for comunicada uma vulnerabilidade, cumpra os princípios descritos aqui e seja corrigido na versão mais recente disponível do SO do Azure Sphere. Não publicaremos CVEs antes de uma correção estar disponível publicamente.

Como encontrar CVEs do Azure Sphere

Para encontrar uma lista de todos os CVEs publicados para o Azure Sphere, utilize "Sphere" para a pesquisa de palavras-chave no Guia de Atualização de Segurança.

Os CVEs do Azure Sphere publicados também estão listados em Novidades da versão em que a vulnerabilidade foi corrigida.