Delen via

Azure Sphere-CVE's

  • Artikel

Het doel van Microsoft is om beveiligingsonderzoekers die interesse hebben in Azure Sphere te belonen voor het vinden van potentiële beveiligingsproblemen en deze op verantwoorde wijze melden volgens het Coordinated Vulnerability Disclosure-principe van Microsoft en het Microsoft Azure Bounty Program. Het Azure Sphere-team verwelkomt en erkent de beveiligingsonderzoekscommunity voor hun werk en hulp bij het beveiligen van onze oplossing in de loop van de tijd.

We willen transparant zijn over onze beveiligingsverbeteringen. We werken samen met het CVE-programma om veelvoorkomende beveiligingsproblemen en blootstellingen (CVE's) te publiceren voor beveiligingsproblemen die zijn opgelost in huidige of eerdere versies van het Azure Sphere-besturingssysteem.

Impact van de klant van het publiceren van CVE's

CDE's voor het besturingssysteem worden alleen gepubliceerd zodra er een oplossing beschikbaar is. Elk apparaat waarop Azure Sphere wordt uitgevoerd en is verbonden met internet, wordt automatisch bijgewerkt. Apparaten met de nieuwste versie zijn daarom altijd beveiligd. Voor apparaten die nieuw zijn of een tijdje geen verbinding met internet hebben gehad (bijvoorbeeld wanneer de versie van het besturingssysteem ouder is dan de versie van het besturingssysteem die de oplossing bevat), raden we u aan het apparaat te verbinden met een beveiligd, lokaal privénetwerk met internettoegang en het apparaat automatisch bij te werken.

Principes voor het publiceren van CVE's

CVE's kunnen worden gepubliceerd voor beveiligingsproblemen in het Azure Sphere-besturingssysteem die 'out of the box' kunnen worden misbruikt, in een langere offlineperiode of voordat er een verbinding met de Azure Sphere-beveiligingsservice wordt gemaakt. Beveiligingsproblemen in klanttoepassingen vallen buiten het bereik voor het toewijzen van een CVE. CVE's voor software van derden zijn de verantwoordelijkheid van de betreffende fabrikant.

De typen beveiligingsproblemen waarvoor we CVE's publiceren, kunnen op drie manieren worden beschreven:

  • Pre-emptive impact: Beveiligingsproblemen met betrekking tot wanneer een Azure Sphere-apparaat is uitgeschakeld en geen functie uitvoert die kan worden misbruikt tijdens het opstarten en configureren van het apparaat.
  • Onzichtbare impact: Beveiligingsproblemen met betrekking tot wanneer een Azure Sphere-apparaat actief een functie uitvoert, maar niet is verbonden met de Azure Sphere-beveiligingsservice voor updates die kunnen worden misbruikt zonder de functie van het primaire apparaat te verstoren.
  • Verstorende impact: Beveiligingsproblemen die voorkomen dat een Azure Sphere-apparaat automatisch een update ontvangt of die een terugdraaibewerking van updates activeren.

Inhoud van Azure Sphere-CVE's

CVE's voor Azure Sphere bestaan uit een korte beschrijving en score op basis van het Common Vulnerability Scoring System (CVSS), een evaluatie van de exploitability-index, een Azure Sphere-specifieke veelgestelde vragen en een bevestiging aan de vinder die dit heeft gerapporteerd. Deze inhoud is vereist in elke CVE en is opgenomen voor alle CVE's voor Microsoft-producten.

Wanneer Azure Sphere-CVE's worden gepubliceerd

CVE-records worden gepubliceerd op de tweede dinsdag van de maand (ook wel Microsoft Patch Tuesday genoemd) nadat er een oplossing beschikbaar is gesteld aan klanten. We verwachten dat CVE's op onregelmatige basis worden gepubliceerd wanneer een beveiligingsprobleem aan ons wordt gerapporteerd, voldoet aan de principes die hier worden beschreven en is opgelost in de nieuwste beschikbare versie van het Azure Sphere-besturingssysteem. We publiceren geen CVE's voordat een oplossing openbaar beschikbaar is.

Azure Sphere-CVE's vinden

Als u een lijst met alle gepubliceerde CDE's voor Azure Sphere wilt vinden, gebruikt u Sphere als trefwoordzoekopdracht in de Handleiding voor beveiligingsupdates.

Gepubliceerde Azure Sphere-CVE's worden ook vermeld in Wat is er nieuw voor de release waarop het beveiligingsprobleem is opgelost.