次の方法で共有


Azure Sphere CVEs

Microsoft の目標は、潜在的な脆弱性を見つけ出し、Microsoft の 協調脆弱性開示 原則と Microsoft Azure 報奨金プログラムに従って責任を持って報告するために、Azure Sphere に関心を持つセキュリティ研究者に報酬を提供することです。 Azure Sphere チームは、セキュリティ調査コミュニティの作業を歓迎し、承認し、時間の経過と同時にソリューションをセキュリティで保護します。

セキュリティの強化について透明性を確保したいと考えています。 CVE プログラムと提携して、現在または以前のバージョンの Azure Sphere OS で修正された脆弱性に関する一般的な脆弱性と公開 (CVEs) を公開します。

CVEs の公開に対するお客様の影響

OS の CVEs は、修正プログラムが使用可能になった後にのみ発行されます。 Azure Sphere を実行していて、インターネットに接続されているデバイスはすべて自動的に更新されます。 そのため、最新バージョンを実行しているデバイスは常に保護されます。 新しいデバイスまたはインターネットにしばらく接続されていないデバイス (たとえば、OS バージョンが修正プログラムを含む OS バージョンより古い場合)、インターネット アクセスを使用してセキュリティで保護されたプライベート ローカル ネットワークにデバイスを接続し、デバイスが自動的に更新されるようにすることをお勧めします。

CVEs を公開するための原則

"すぐに使用できる"、オフライン期間が延長される、または Azure Sphere Security Service への接続が確立される前に悪用される可能性がある Azure Sphere OS の脆弱性について、CVEs が公開される可能性があります。 お客様のアプリケーションの脆弱性は、CVE を割り当てるための範囲外です。 サード パーティ製ソフトウェアの CVEs は、それぞれの製造元の責任です。

CVEs を発行する脆弱性の種類は、次の 3 つの方法で説明できます。

  • プリエンプションの影響: Azure Sphere デバイスの電源がオフになり、デバイスを起動して構成しているときに悪用される可能性のある機能を実行しない場合に関連する脆弱性。
  • 目に見えない影響: Azure Sphere デバイスがアクティブに機能を実行しているが、プライマリ デバイス機能を中断することなく悪用される可能性のある更新プログラムに対して Azure Sphere セキュリティ サービスに接続されていない場合に関連する脆弱性。
  • 破壊的影響: Azure Sphere デバイスが更新プログラムを自動的に受信できなくなるか、更新プログラムのロールバックをトリガーする脆弱性。

Azure Sphere CVEs の内容

Azure Sphere の CVEs は、 一般的な脆弱性スコアリング システム (CVSS) に基づく簡単な説明とスコア、 悪用可能性のインデックス評価、Azure Sphere 固有の FAQ、報告したファインダーへの確認で構成されています。 このコンテンツは、すべての CVE で必要であり、Microsoft 製品のすべての CVEs に含まれています。

Azure Sphere CVEs が発行されたとき

CVE レコードは、修正プログラムが顧客に提供された 、月の第 2 火曜日 (Microsoft Patch Tuesday) に発行されます。 脆弱性が報告され、ここで説明されている原則を満たし、Azure Sphere OS の最新バージョンで修正されるたびに、CVEs が不規則に公開されることを期待しています。 修正プログラムが一般公開される前に、CVE を公開しません。

Azure Sphere CVEs を見つける方法

Azure Sphere 用に発行されたすべての CVEs の一覧を見つけるには、セキュリティ更新プログラム ガイドのキーワード (keyword)検索に "Sphere" を使用します。

公開された Azure Sphere CVEs は、脆弱性が修正されたリリースの 新機能 にも記載されています。