Azure Sphere-CVEs

  • Artikel

Ziel von Microsoft ist es, Sicherheitsforscher, die ein Interesse an Azure Sphere haben, für die Suche nach potenziellen Sicherheitsrisiken und deren verantwortungsvolle Meldung gemäß dem Koordinierten Offenlegungsprinzip von Microsoft und dem Microsoft Azure Bounty-Programm zu belohnen. Das Azure Sphere-Team begrüßt und würdigt die Sicherheitsforschungscommunity für ihre Arbeit und ihre Unterstützung bei der Sicherung unserer Lösung im Laufe der Zeit.

Wir möchten unsere Sicherheitsverbesserungen transparent gestalten. Wir arbeiten mit dem CVE-Programm zusammen, um allgemeine Sicherheitsrisiken und Offenlegungen (CVEs) für Sicherheitsrisiken zu veröffentlichen, die in aktuellen oder früheren Versionen des Azure Sphere-Betriebssystems behoben wurden.

Auswirkungen der Veröffentlichung von CVEs für Kunden

CVEs für das Betriebssystem werden nur veröffentlicht, sobald ein Fix verfügbar ist. Jedes Gerät, auf dem Azure Sphere ausgeführt wird und mit dem Internet verbunden ist, wird automatisch aktualisiert. Geräte, auf denen die neueste Version ausgeführt wird, sind daher immer geschützt. Für Geräte, die neu sind oder seit einer Weile nicht mit dem Internet verbunden sind (z. B. wenn die Betriebssystemversion älter ist als die Betriebssystemversion, die den Fix enthält), empfehlen wir, das Gerät mit einem sicheren, privaten lokalen Netzwerk mit Internetzugriff zu verbinden und zuzulassen, dass sich das Gerät automatisch aktualisieren kann.

Prinzipien für die Veröffentlichung von CVEs

CVEs können für Sicherheitsrisiken im Azure Sphere-Betriebssystem veröffentlicht werden, die standardmäßig, in einem längeren Offlinezeitraum oder vor dem Herstellen einer Verbindung mit dem Azure Sphere-Sicherheitsdienst ausgenutzt werden können. Sicherheitsrisiken in Kundenanwendungen liegen außerhalb des Bereichs für die Zuweisung einer CVE. CVEs für Drittanbietersoftware liegen in der Verantwortung des jeweiligen Herstellers.

Die Arten von Sicherheitsrisiken, für die CVEs veröffentlicht werden, können auf drei Arten beschrieben werden:

  • Präemptive Auswirkung: Sicherheitsrisiken im Zusammenhang mit dem Ausschalten eines Azure Sphere-Geräts ohne Ausführung einer Funktion, die beim Hochschalten und Konfigurieren des Geräts ausgenutzt werden könnte.
  • Unsichtbare Auswirkung: Sicherheitsrisiken im Zusammenhang mit dem Zeitpunkt, an dem ein Azure Sphere-Gerät aktiv eine Funktion ausführt, aber nicht mit dem Azure Sphere-Sicherheitsdienst für Updates verbunden ist, die ohne Unterbrechung der primären Gerätefunktion ausgenutzt werden könnten.
  • Störende Auswirkungen: Sicherheitsrisiken, die verhindern würden, dass ein Azure Sphere-Gerät automatisch ein Update empfängt oder ein Updaterollback auslösen würde.

Inhalt von Azure Sphere-CVEs

CVEs für Azure Sphere bestehen aus einer kurzen Beschreibung und Bewertung basierend auf dem Common Vulnerability Scoring System (CVSS), einer Bewertung des Ausnutzbarkeitsindexes, einer Azure Sphere-spezifischen FAQ und einer Bestätigung an den Finder, der dies gemeldet hat. Dieser Inhalt ist in jeder CVE erforderlich und ist für alle CVEs für Microsoft-Produkte enthalten.

Wann Azure Sphere CVEs veröffentlicht werden

CVE-Datensätze werden am zweiten Dienstag des Monats (auch als Microsoft Patch Tuesday bezeichnet) veröffentlicht, nachdem kunden eine Lösung zur Verfügung gestellt wurde. Wir erwarten, dass CVEs auf unregelmäßiger Basis veröffentlicht werden, wenn uns ein Sicherheitsrisiko gemeldet wird, die hier beschriebenen Prinzipien erfüllt und in der neuesten verfügbaren Version des Azure Sphere-Betriebssystems behoben ist. CvEs werden erst veröffentlicht, wenn ein Fix öffentlich verfügbar ist.

Suchen von Azure Sphere-CVEs

Um eine Liste aller veröffentlichten CVEs für Azure Sphere zu suchen, verwenden Sie "Sphere" für die Schlüsselwort (keyword) Suche im Leitfaden für Sicherheitsupdates.

Veröffentlichte Azure Sphere-CVEs sind auch unter Neuerungen für das Release aufgeführt, bei dem das Sicherheitsrisiko behoben wurde.