Azure Sphere CVEs
El objetivo de Microsoft es recompensar a los investigadores de seguridad que tienen un interés en Azure Sphere por encontrar posibles vulnerabilidades e informar de ellas de forma responsable de acuerdo con el principio de divulgación coordinada de vulnerabilidades de Microsoft y el Programa de recompensas de Microsoft Azure. El equipo de Azure Sphere da la bienvenida y reconoce a la comunidad de investigación de seguridad por su trabajo y ayuda para mantener nuestra solución segura a lo largo del tiempo.
Queremos ser transparentes sobre nuestras mejoras de seguridad. Colaboramos con el programa CVE para publicar vulnerabilidades y exposiciones comunes (CVEs) para vulnerabilidades que se han corregido en versiones actuales o anteriores del SO Azure Sphere.
Impacto del cliente en la publicación de CVEs
Los CVEs para el sistema operativo solo se publican una vez que hay una corrección disponible. Cualquier dispositivo que ejecute Azure Sphere y esté conectado a Internet se actualizará automáticamente. Por lo tanto, los dispositivos que ejecutan la versión más reciente siempre están protegidos. Para los dispositivos que son nuevos o que no se han conectado a Internet durante un tiempo (por ejemplo, cuando la versión del sistema operativo es anterior a la versión del sistema operativo que contiene la corrección), recomendamos conectar el dispositivo a una red local privada y segura con acceso a Internet y permitir que el dispositivo se actualice automáticamente.
Principios para la publicación de CVEs
Los CVEs pueden publicarse para vulnerabilidades del SO Azure Sphere que se puedan aprovechar "de forma rápida", en un período sin conexión prolongado o antes de establecer una conexión con el Servicio de Seguridad de Azure Sphere. Las vulnerabilidades de las aplicaciones de cliente están fuera del ámbito para asignar un CVE. Los CVEs para software de terceros son responsabilidad del fabricante correspondiente.
Los tipos de vulnerabilidades para los que publicamos CVEs se pueden describir de tres maneras:
- Impacto preventivo: Vulnerabilidades relacionadas con el momento en que un dispositivo Azure Sphere está apagado y no realiza una función que se pueda aprovechar al subir el dispositivo y configurarlo.
- Impacto invisible: Vulnerabilidades relacionadas con cuando un dispositivo Azure Sphere está realizando activamente una función, pero no está conectado al servicio Azure Sphere Security para actualizaciones que se podrían aprovechar sin interrumpir la función del dispositivo principal.
- Impacto disruptivo: Vulnerabilidades que impedirían que un dispositivo Azure Sphere recibiera una actualización automáticamente o desencadenaría una reversión de la actualización.
Contenido de los CVEs de Azure Sphere
Los CVEs para Azure Sphere consisten en una breve descripción y puntuación basada en el sistema de puntuación de vulnerabilidad común (CVSS), una evaluación del índice de vulnerabilidad, una pregunta frecuente específica de Azure Sphere y una confirmación para el buscador que lo informó. Este contenido es necesario en cada CVE y se incluye para todos los CVEs para productos de Microsoft.
Cuándo se publican los CVE de Azure Sphere
Los registros CVE se publicarán el segundo martes del mes (es decir, el martes de Revisión de Microsoft) después de que se haya puesto a disposición de los clientes una corrección. Esperamos que los CVEs se publiquen de forma irregular siempre que se nos notifique una vulnerabilidad, se cumplan los principios descritos aquí y se corrije en la versión más reciente disponible del SO Azure Sphere. No publicaremos CVEs antes de que una corrección esté disponible públicamente.
Cómo encontrar cves de Azure Sphere
Para encontrar una lista de todos los CVEs publicados para Azure Sphere, use "Sphere" para la búsqueda de palabras clave en la Guía de actualización de seguridad.
Los CVE de Azure Sphere publicados también aparecen en Novedades de la versión en la que se corrigió la vulnerabilidad.