Поделиться через

Azure Sphere CVEs

  • Статья

Цель корпорации Майкрософт — вознаграждать исследователей по безопасности, заинтересованных в Azure Sphere, за поиск потенциальных уязвимостей и ответственное информирование о них в соответствии с принципом скоординированного раскрытия уязвимостей Майкрософт и Программой баунти Microsoft Azure. Команда Azure Sphere приветствует и признает сообщество исследователей безопасности за их работу и помощь в обеспечении безопасности нашего решения с течением времени.

Мы хотим быть прозрачными в отношении наших улучшений безопасности. Мы сотрудничаем с программой CVE для публикации распространенных уязвимостей и уязвимостей (CVE), которые были исправлены в текущих или предыдущих версиях ОС Azure Sphere.

Влияние на клиентов публикации cvEs

CvEs для ОС публикуются только после того, как будет доступно исправление. Все устройства под управлением Azure Sphere, подключенные к Интернету, обновляются автоматически. Поэтому устройства под управлением последней версии всегда защищены. Для устройств, которые являются новыми или некоторое время не подключены к Интернету (например, если версия ОС старше версии ОС, содержащей исправление), рекомендуется подключить устройство к безопасной частной локальной сети с доступом к Интернету и разрешить устройству автоматически обновлять себя.

Принципы публикации резюме

CvEs могут быть опубликованы для уязвимостей в ОС Azure Sphere, которые можно использовать "из коробки", в течение длительного автономного периода или до подключения к службе безопасности Azure Sphere. Уязвимости в клиентских приложениях не область для назначения CVE. Ответственность за программное обеспечение сторонних производителей несет соответствующий производитель.

Типы уязвимостей, для которых мы публикуем CVEs, можно описать тремя способами:

  • Упреждающное воздействие: Уязвимости, связанные с выключением питания устройства Azure Sphere и отсутствием функции, которую можно использовать при запуске устройства и его настройке.
  • Невидимое влияние: Уязвимости, связанные с тем, что устройство Azure Sphere активно выполняет функцию, но не подключено к службе безопасности Azure Sphere для обновлений, которые можно использовать без нарушения работы основного устройства.
  • Разрушительное воздействие: Уязвимости, которые препятствуют автоматическому получению обновления на устройстве Azure Sphere или запускают откат обновления.

Содержимое cves Azure Sphere

CVEs для Azure Sphere состоят из краткого описания и оценки на основе общей системы оценки уязвимостей (CVSS),оценки индекса эксплуатируемости, часто задаваемых вопросов, относящихся к Azure Sphere, и подтверждения для средства поиска, который сообщил об этом. Это содержимое обязательно для каждого CVE и включается для всех cvEs для продуктов Майкрософт.

При публикации резюме Azure Sphere

Записи CVE будут опубликованы во второй вторник месяца (например, во вторник исправлений Майкрософт) после того, как исправление будет доступно клиентам. Мы ожидаем, что cvEs будут публиковаться на нерегулярной основе всякий раз, когда нам сообщается об уязвимости, соответствует описанным здесь принципам и исправлен в последней доступной версии ОС Azure Sphere. Мы не будем публиковать CVEs до того, как исправление станет общедоступным.

Поиск cves Azure Sphere

Чтобы найти список всех опубликованных резюме для Azure Sphere, используйте "Sphere" для ключевое слово поиска в руководстве по обновлению системы безопасности.

Опубликованные cvEs Azure Sphere также перечислены в разделе Новые возможности выпуска, в котором была исправлена уязвимость.