Dela via

Cv:ar för Azure-sfär

  • Artikel

Microsofts mål är att belöna säkerhetsforskare som har ett intresse av Azure Sphere för att hitta potentiella sårbarheter och rapportera dem ansvarsfullt enligt Microsofts coordinated vulnerability disclosure-princip och Microsoft Azure Bounty Program. Azure Sphere-teamet välkomnar och bekräftar säkerhetsforskningsgemenskapen för deras arbete och hjälp med att hålla vår lösning säker med tiden.

Vi vill vara transparenta om våra säkerhetsförbättringar. Vi samarbetar med CVE-programmet för att publicera vanliga sårbarheter och exponeringar (CVE) för sårbarheter som har åtgärdats i aktuella eller tidigare versioner av Azure Sphere-operativsystemet.

Kundpåverkan av publicering av cv:ar

CV:er för operativsystemet publiceras bara när en korrigering finns tillgänglig. Alla enheter som kör Azure Sphere och är anslutna till Internet uppdateras automatiskt. Enheter som kör den senaste versionen är därför alltid skyddade. För enheter som är nya eller inte har varit anslutna till Internet på ett tag (till exempel när OS-versionen är äldre än den OS-version som innehåller korrigeringen) rekommenderar vi att du ansluter enheten till ett säkert, privat lokalt nätverk med Internetanslutning och låter enheten automatiskt uppdatera sig själv.

Principer för publicering av cv:ar

Cv:er kan publiceras för sårbarheter i Azure Sphere-operativsystemet som kan utnyttjas "out of the box", under en längre offlineperiod eller innan en anslutning till Azure Sphere-säkerhetstjänsten upprättas. Sårbarheter i kundprogram är inte begränsade för att tilldela en CVE. Cv:er för programvara från tredje part ansvarar respektive tillverkare för.

De typer av sårbarheter som vi publicerar cv:erna för kan beskrivas på tre sätt:

  • Förebyggande påverkan: Sårbarheter som är relaterade till när en Azure Sphere-enhet stängs av och inte utför en funktion som kan utnyttjas samtidigt som enheten förs upp och konfigureras.
  • Osynlig påverkan: Säkerhetsproblem relaterade till när en Azure Sphere-enhet aktivt utför en funktion, men inte är ansluten till Azure Sphere-säkerhetstjänsten för uppdateringar som kan utnyttjas utan att störa den primära enhetsfunktionen.
  • Störande påverkan: Säkerhetsproblem som hindrar en Azure Sphere-enhet från att ta emot en uppdatering automatiskt eller som utlöser en återställning av uppdateringen.

Innehållet i Cv:erna för Azure-sfären

CVE:er för Azure Sphere består av en kort beskrivning och poäng baserat på CVSS (Common Vulnerability Scoring System), en bedömning av sårbarhetsindex, en Azure Sphere-specifik faq och en bekräftelse till finder som rapporterade det. Det här innehållet krävs i varje CVE och ingår för alla CVE:er för Microsoft-produkter.

När Azure Sphere-CV:erna publiceras

CVE-poster publiceras den andra tisdagen i månaden (t.ex. Microsoft Patch Tuesday) efter att en korrigering har gjorts tillgänglig för kunder. Vi förväntar oss att cv:er publiceras oregelbundet när en sårbarhet rapporteras till oss, uppfyller de principer som beskrivs här och åtgärdas i den senaste tillgängliga versionen av Azure Sphere OS. Vi kommer inte att publicera cv:er innan en korrigering blir tillgänglig för allmänheten.

Så här hittar du Cv:erna för Azure Sphere

Om du vill hitta en lista över alla publicerade CV:er för Azure Sphere använder du "Sphere" för nyckelordssökningen i Security Update Guide.

Publicerade Azure Sphere-CV:er finns också med i Nyheter för den version där säkerhetsrisken åtgärdades.