Sdílet prostřednictvím

Azure Sphere CVEs

  • Článek

Důležité

Toto je dokumentace k Azure Sphere (starší verze). Azure Sphere (starší verze) se vyřazuje 27. září 2027 a uživatelé musí do této doby migrovat do Azure Sphere (integrované). K zobrazení dokumentace k Azure Sphere (integrované) použijte selektor verzí umístěný nad obsahem.

Cílem Microsoftu je odměňovat pracovníky v oblasti zabezpečení, kteří mají zájem o Azure Sphere, aby našli potenciální ohrožení zabezpečení a nahlásili je zodpovědně podle zásady koordinovaného zpřístupnění ohrožení zabezpečení Microsoftu a programu Microsoft Azure Bounty Program. Tým Azure Sphere vítá a uznává komunitu výzkumu zabezpečení za svou práci a pomáhá udržet naše řešení v čase v bezpečí.

Chceme být transparentní ohledně našich vylepšení zabezpečení. Spolupracujeme s programem CVE a publikujeme běžná ohrožení zabezpečení a ohrožení zabezpečení (CVE) pro chyby zabezpečení opravené v aktuálních nebo předchozích verzích operačního systému Azure Sphere.

Dopad publikování cves na zákazníka

CvEs pro operační systém se publikují jenom po zpřístupnění opravy. Každé zařízení, na kterém běží Azure Sphere a je připojené k internetu, se automaticky aktualizuje. Zařízení s nejnovější verzí jsou proto vždy chráněná. Pro zařízení, která jsou nová nebo nejsou připojená k internetu nějakou dobu (například pokud je verze operačního systému starší než verze operačního systému, která opravu obsahuje), doporučujeme připojit zařízení k zabezpečené privátní místní síti s přístupem k internetu a umožnit zařízení automaticky aktualizovat sám sebe.

Principy publikování cves

V operačním systému Azure Sphere se můžou publikovat cvečky, které se dají zneužít "předem", v delším offline období nebo před připojením ke službě zabezpečení Azure Sphere. Ohrožení zabezpečení v zákaznických aplikacích jsou mimo rozsah přiřazování CVE. CvEs pro software třetích stran jsou odpovědností příslušného výrobce.

Typy ohrožení zabezpečení, pro které publikujeme cves, je možné popsat třemi způsoby:

  • Pre-emptive Impact: Ohrožení zabezpečení související s vypnutím zařízení Azure Sphere a neprovádí funkci, která by mohla být zneužita při vyvolání a konfiguraci zařízení.
  • Neviditelný dopad: Ohrožení zabezpečení související s tím, kdy zařízení Azure Sphere aktivně provádí funkci, ale není připojené ke službě zabezpečení Azure Sphere kvůli aktualizacím, které by bylo možné zneužít bez narušení primární funkce zařízení.
  • Rušivý dopad: Ohrožení zabezpečení, která by zabránila zařízení Azure Sphere přijímat aktualizaci automaticky nebo by aktivovala vrácení aktualizace zpět.

Obsah cves Azure Sphere

Funkce CVEs pro Azure Sphere se skládají z stručného popisu a skóre založeného na společném systému vyhodnocování ohrožení zabezpečení (CVSS), posouzení indexu zneužití, nejčastějších dotazech specifických pro Azure Sphere a potvrzení pro vyhledávač, který ho nahlásil. Tento obsah se vyžaduje ve všech CVE a je součástí všech cves pro produkty Microsoftu.

Při publikování cves Azure Sphere

Záznamy CVE se publikují druhé úterý v měsíci (a.k.a. Microsoft Patch Tuesday) po zpřístupnění opravy zákazníkům. Očekáváme, že cve budou publikovány nepravidelně při každém nahlášení ohrožení zabezpečení, splňují zde popsané principy a jsou opravené v nejnovější dostupné verzi operačního systému Azure Sphere. Před zveřejněním opravy nebudeme publikovat soubory CVE.

Jak najít cves Azure Sphere

Pokud chcete najít seznam všech publikovaných cves pro Azure Sphere, použijte "Sphere" pro hledání klíčových slov v Průvodci aktualizací zabezpečení.

Publikované cve Azure Sphere jsou uvedené také v článku Co je nového ve verzi, ve které byla chyba zabezpečení opravena.