Sdílet prostřednictvím

Azure Sphere CVE

  • Článek

Cílem Microsoftu je odměnit výzkumníky v oblasti zabezpečení, kteří mají zájem o Azure Sphere, za to, že hledají potenciální ohrožení zabezpečení a zodpovědně je hlásí v souladu s principem koordinovaného zpřístupnění ohrožení zabezpečení společnosti Microsoft a programem Microsoft Azure Bounty Program. Tým Azure Sphere vítá a uznává komunitu výzkumu zabezpečení za jejich práci a pomáhá udržet naše řešení zabezpečené v průběhu času.

Chceme být transparentní, pokud jde o naše vylepšení zabezpečení. Ve spolupráci s programem CVE publikujeme běžná ohrožení zabezpečení a ohrožení zabezpečení (CVE) opravená v aktuálních nebo předchozích verzích operačního systému Azure Sphere.

Dopad publikování CVR na zákazníky

Operace CVE pro operační systém se publikují, pouze jakmile je k dispozici oprava. Každé zařízení, které používá Azure Sphere a je připojené k internetu, se automaticky aktualizuje. Zařízení s nejnovější verzí jsou proto vždy chráněná. U zařízení, která jsou nová nebo která nebyla nějakou dobu připojená k internetu (například pokud je verze operačního systému starší než verze operačního systému, která obsahuje opravu), doporučujeme připojit zařízení k zabezpečené privátní místní síti s přístupem k internetu a povolit, aby se zařízení automaticky aktualizovalo.

Principy publikování CVE

V případě ohrožení zabezpečení v operačním systému Azure Sphere se můžou publikovat prostředí CVE, která je možné zneužít "předem připravená", během delší doby offline nebo před vytvořením připojení ke službě zabezpečení Azure Sphere. Ohrožení zabezpečení v zákaznických aplikacích není možné přiřazovat CVE. Za cve pro software třetích stran zodpovídá příslušný výrobce.

Typy ohrožení zabezpečení, pro které publikujeme KVE, lze popsat třemi způsoby:

  • Preventivní dopad: Ohrožení zabezpečení související s vypnutím zařízení Azure Sphere, které neprovádí funkci, kterou by bylo možné zneužít při uvedení zařízení do stavu a jeho konfiguraci
  • Neviditelný dopad: Ohrožení zabezpečení související s tím, že zařízení Azure Sphere aktivně provádí funkci, ale není připojené ke službě zabezpečení Azure Sphere kvůli aktualizacím, které by bylo možné zneužít bez narušení funkce primárního zařízení
  • Rušivý dopad: Ohrožení zabezpečení, která brání zařízení Azure Sphere v automatickém přijetí aktualizace nebo by aktivovala vrácení aktualizace zpět

Obsah azure Sphere CVE

CVR pro Azure Sphere se skládají ze stručného popisu a skóre založeného na systému CVSS (Common Vulnerability Scoring System),posouzení indexu zneužitelnosti, nejčastějších dotazů specifických pro Azure Sphere a potvrzení pro vyhledávače, který ho nahlásil. Tento obsah je vyžadován v každém CVE a je součástí všech CVR pro produkty Microsoftu.

Když se publikují prostředí CVE v Azure Sphere

Záznamy CVE budou publikovány druhé úterý v měsíci (dále jen "Microsoft Patch Tuesday") poté , co bude oprava zpřístupněna zákazníkům. Očekáváme, že se prostředí CTE bude publikovat nepravidelně, kdykoli se nám nahlásí ohrožení zabezpečení, bude splňovat zde popsané principy a bude opraveno v nejnovější dostupné verzi operačního systému Azure Sphere. Než bude oprava veřejně dostupná, nebudeme publikovat CVR.

Jak najít prostředí CVE v Azure Sphere

Pokud chcete najít seznam všech publikovaných CVR pro Azure Sphere, použijte pro vyhledávání klíčových slov v Průvodci aktualizacemi zabezpečení "Sphere".

Publikovaná prostředí CVE v Azure Sphere jsou také uvedená v tématu Novinky ve verzi, ve které bylo ohrožení zabezpečení opraveno.