Partilhar via

Azure Sphere CVEs

  • Artigo

Importante

Esta é a documentação do Azure Sphere (Legado). O Azure Sphere (Legado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (Integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).

O objetivo da Microsoft é recompensar os pesquisadores de segurança que têm interesse no Azure Sphere por encontrar vulnerabilidades potenciais e relatá-las de forma responsável, de acordo com o princípio de Divulgação Coordenada de Vulnerabilidades da Microsoft e o Programa de Recompensa do Microsoft Azure. A equipa do Azure Sphere dá as boas-vindas e reconhece a comunidade de investigação de segurança pelo seu trabalho e ajuda a manter a nossa solução segura ao longo do tempo.

Queremos ser transparentes sobre as nossas melhorias de segurança. Estabelecemos uma parceria com o Programa CVE para publicar vulnerabilidades e exposições comuns (CVEs) para vulnerabilidades que foram corrigidas em versões atuais ou anteriores do SO Azure Sphere.

Impacto na publicação de CVEs para o cliente

CVEs para o sistema operacional só são publicadas quando uma correção está disponível. Qualquer dispositivo que esteja executando o Azure Sphere e esteja conectado à Internet é atualizado automaticamente. Os dispositivos que executam a versão mais recente estão, portanto, sempre protegidos. Para dispositivos novos ou que não estão conectados à Internet há algum tempo (por exemplo, quando a versão do sistema operacional é mais antiga do que a versão do sistema operacional que contém a correção), recomendamos conectar o dispositivo a uma rede local segura e privada com acesso à Internet e permitir que o dispositivo se atualize automaticamente.

Princípios para a publicação de CVEs

CVEs podem ser publicados para vulnerabilidades no sistema operacional Azure Sphere que podem ser exploradas "prontamente", em um período offline estendido ou antes que uma conexão com o Serviço de Segurança do Azure Sphere seja feita. As vulnerabilidades nos aplicativos do cliente estão fora do escopo para a atribuição de uma CVE. As CVEs para software de terceiros são da responsabilidade do respetivo fabricante.

Os tipos de vulnerabilidades para as quais publicamos CVEs podem ser descritos de três maneiras:

  • Impacto preventivo: vulnerabilidades relacionadas a quando um dispositivo Azure Sphere é desligado e não executa uma função que pode ser explorada ao ativar o dispositivo e configurá-lo.
  • Impacto invisível: vulnerabilidades relacionadas a quando um dispositivo do Azure Sphere está executando ativamente uma função, mas não está conectado ao serviço de Segurança do Azure Sphere para atualizações que podem ser exploradas sem interromper a função principal do dispositivo.
  • Impacto perturbador: vulnerabilidades que impediriam um dispositivo Azure Sphere de receber uma atualização automaticamente ou acionariam uma reversão de atualização.

Conteúdo dos CVEs do Azure Sphere

As CVEs do Azure Sphere consistem em uma breve descrição e pontuação com base no CVSS (Common Vulnerability Scoring System), uma avaliação do índice de exploração, uma FAQ específica do Azure Sphere e uma confirmação ao localizador que a denunciou. Este conteúdo é necessário em todas as CVEs e está incluído em todas as CVEs para produtos Microsoft.

Quando os CVEs do Azure Sphere são publicados

Os registros CVE serão publicados na segunda terça-feira do mês (também conhecida como Microsoft Patch Tuesday) depois que uma correção for disponibilizada aos clientes. Esperamos que as CVEs sejam publicadas de forma irregular sempre que uma vulnerabilidade nos for comunicada, cumprir os princípios descritos aqui e for corrigida na versão mais recente disponível do SO Azure Sphere. Não publicaremos CVEs antes que uma correção esteja disponível publicamente.

Como encontrar CVEs do Azure Sphere

Para encontrar uma lista de todas as CVEs publicadas para o Azure Sphere, use "Sphere" para a pesquisa de palavra-chave no Guia de Atualização de Segurança.

Os CVEs publicados do Azure Sphere também estão listados em Novidades da versão na qual a vulnerabilidade foi corrigida.