Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Dies ist die Dokumentation zu Azure Sphere (Legacy). Azure Sphere (Legacy) wird am 27. September 2027 eingestellt, und Benutzer müssen bis zu diesem Zeitpunkt zu Azure Sphere (integriert) migrieren. Verwenden Sie die Versionsauswahl oberhalb des Inhaltsverzeichniss, um die Dokumentation zu Azure Sphere (Integriert) anzuzeigen.
Das Ziel von Microsoft ist es, Sicherheitsforscher zu belohnen, die ein Interesse an Azure Sphere haben, potenzielle Sicherheitsrisiken zu finden und sie gemäß dem Prinzip der koordinierten Offenlegung von Sicherheitsanfälligkeiten von Microsoft und dem Microsoft Azure Bounty-Programm verantwortungsbewusst zu melden. Das Azure Sphere-Team begrüßt und bestätigt die Sicherheitsforschungscommunity für ihre Arbeit und hilft dabei, unsere Lösung im Laufe der Zeit sicher zu halten.
Wir wollen transparent über unsere Sicherheitsverbesserungen sein. Wir arbeiten mit dem CVE-Programm zusammen, um allgemeine Sicherheitsrisiken und Risiken (CVEs) für Sicherheitsrisiken zu veröffentlichen, die in aktuellen oder früheren Versionen des Azure Sphere-Betriebssystems behoben wurden.
Auswirkungen der Kundenveröffentlichung von CVEs
CVEs für das Betriebssystem werden nur veröffentlicht, wenn ein Fix verfügbar ist. Jedes Gerät, auf dem Azure Sphere ausgeführt wird und mit dem Internet verbunden ist, wird automatisch aktualisiert. Geräte, auf denen die neueste Version ausgeführt wird, sind daher immer geschützt. Für Geräte, die neu sind oder nicht seit einer Weile mit dem Internet verbunden sind (z. B. wenn die Betriebssystemversion älter als die Betriebssystemversion ist, die den Fix enthält), empfehlen wir, das Gerät mit einem sicheren, privaten lokalen Netzwerk mit Internetzugang zu verbinden und das Gerät automatisch zu aktualisieren.
Prinzipien für die Veröffentlichung von CVEs
CVEs können für Sicherheitsrisiken im Azure Sphere-Betriebssystem veröffentlicht werden, die in einem längeren Offlinezeitraum oder vor einer Verbindung mit dem Azure Sphere Security Service ausgenutzt werden können. Sicherheitsrisiken in Kundenanwendungen sind außerhalb des Gültigkeitsbereichs für die Zuweisung eines CVE-Bereichs. CVEs für Drittanbietersoftware sind die Verantwortung des jeweiligen Herstellers.
Die Arten von Sicherheitsrisiken, für die wir CVEs veröffentlichen, können auf drei Arten beschrieben werden:
- Präventive Auswirkungen: Sicherheitsrisiken im Zusammenhang mit dem Ausschalten eines Azure Sphere-Geräts und keine Funktion, die ausgenutzt werden kann, während das Gerät hochgefahren und konfiguriert wird.
- Unsichtbare Auswirkung: Sicherheitsrisiken im Zusammenhang mit dem aktiven Ausführen einer Funktion eines Azure Sphere-Geräts, jedoch nicht mit dem Azure Sphere Security-Dienst für Updates verbunden, die ausgenutzt werden können, ohne die primäre Gerätefunktion zu unterbrechen.
- Störende Auswirkungen: Sicherheitsrisiken, die verhindern würden, dass ein Azure Sphere-Gerät automatisch ein Update empfängt oder ein Updaterollback auslöst.
Inhalt von Azure Sphere CVEs
CVEs für Azure Sphere bestehen aus einer kurzen Beschreibung und Bewertung basierend auf dem Common Vulnerability Scoring System (CVSS),einer Exploitability Index Assessment, einer Azure Sphere-spezifischen FAQ und einer Bestätigung für den Finder, der sie gemeldet hat. Dieser Inhalt ist in jedem CVE erforderlich und ist für alle CVEs für Microsoft-Produkte enthalten.
Wann Azure Sphere CVEs veröffentlicht werden
CVE-Einträge werden am zweiten Dienstag des Monats (z. B. Microsoft Patch Tuesday) veröffentlicht, nachdem kunden ein Fix zur Verfügung gestellt wurde. Wir erwarten, dass CVEs unregelmäßig veröffentlicht werden, wenn uns eine Sicherheitsanfälligkeit gemeldet wird, die hier beschriebenen Prinzipien erfüllt und in der neuesten verfügbaren Version des Azure Sphere-Betriebssystems behoben ist. Wir werden CVEs nicht veröffentlichen, bevor ein Fix öffentlich verfügbar ist.
So finden Sie Azure Sphere CVEs
Um eine Liste aller veröffentlichten CVEs für Azure Sphere zu finden, verwenden Sie "Sphere" für die Schlüsselwortsuche im Sicherheitsupdatehandbuch.
Veröffentlichte Azure Sphere CVEs sind auch in what's new for the release at which the vulnerability was fixed.