Azure Sphere CVE

重要

这是 Azure Sphere（旧版）文档。 Azure Sphere（旧版）将于 2027 年 9 月 27 日停用，用户此时必须迁移到 Azure Sphere（集成）。 使用位于 TOC 上方的版本选择器查看 Azure Sphere（集成）文档。

Microsoft的目标是奖励对 Azure Sphere 感兴趣的安全研究人员寻找潜在漏洞，并根据Microsoft协调 漏洞披露 原则和 Microsoft Azure 赏金计划负责报告这些漏洞。 Azure Sphere 团队欢迎并承认安全研究社区的工作，并帮助随着时间的推移确保解决方案的安全。

我们希望对安全改进持透明态度。 我们与 CVE 计划合作，发布常见漏洞和暴露（CVE），了解已在 Azure Sphere OS 的当前或早期版本中修复的漏洞。

发布 CVE 的客户影响

OS 的 CVE 仅在修补程序可用后发布。 运行 Azure Sphere 且连接到 Internet 的任何设备都会自动更新。 因此，运行最新版本的设备始终受到保护。 对于新的或尚未连接到 Internet 的设备（例如，当 OS 版本早于包含修补程序的 OS 版本时），我们建议将设备连接到具有 Internet 访问权限的安全专用本地网络，并允许设备自动更新自身。

CVE 的发布原则

CES 可能会在 Azure Sphere OS 中发布漏洞，这些漏洞可以在长时间脱机期间或连接到 Azure Sphere 安全服务之前被利用。 客户应用程序中的漏洞不适用于分配 CVE 的范围。 第三方软件的 CVE 由相应的制造商负责。

我们发布 CVE 的漏洞类型可通过三种方式进行描述：

• 先发制人的影响： 与 Azure Sphere 设备关闭时相关的漏洞，而不是执行在启动和配置设备时可能利用的函数。
• 不可见的影响： 与 Azure Sphere 设备主动执行功能时相关的漏洞，但未连接到 Azure Sphere 安全服务，以获取可能被利用的更新，而不会中断主要设备功能。
• 中断性影响： 阻止 Azure Sphere 设备自动接收更新或触发更新回滚的漏洞。

Azure Sphere CVE 的内容

适用于 Azure Sphere 的 CVE 包含基于常见漏洞评分系统（CVSS）的简要说明和评分、 可利用性索引评估、特定于 Azure Sphere 的常见问题解答，以及向报告它的查找者确认。 此内容在每个 CVE 中是必需的，并且包含在Microsoft产品的所有 CVE 中。

发布 Azure Sphere CVE 时

在向客户提供修补程序后，CVE 记录将在本月的第二个星期二（星期二Microsoft修补程序）上发布。 我们预计，每当向我们报告漏洞时，CES 都会不规则地发布，并符合此处所述的原则，并在 Azure Sphere OS 的最新可用版本中得到修复。 在公开发布修补程序之前，我们不会发布 CVE。

如何查找 Azure Sphere CVE

若要查找 Azure Sphere 的所有已发布 CVE 的列表，请在安全更新指南中使用“Sphere”进行关键字搜索。

已发布的 Azure Sphere CVE 也列在 已修复漏洞的版本中的新增 功能中。