Compartir vía

CVEs de Azure Sphere

  • Artículo

Importante

Esta es la documentación de Azure Sphere (heredado). Azure Sphere (heredado) se retira el 27 de septiembre de 2027 y los usuarios deben migrar a Azure Sphere (integrado) en este momento. Use el selector de versiones situado encima de la TOC para ver la documentación de Azure Sphere (integrado).

El objetivo de Microsoft es recompensar a los investigadores de seguridad que tienen interés en Azure Sphere por encontrar posibles vulnerabilidades e informarlos de forma responsable según el principio de divulgación coordinada de vulnerabilidades de Microsoft y el Programa de recompensas de Microsoft Azure. El equipo de Azure Sphere da la bienvenida y reconoce a la comunidad de investigación de seguridad por su trabajo y ayuda a mantener nuestra solución segura a lo largo del tiempo.

Queremos ser transparentes sobre nuestras mejoras de seguridad. Nos asociamos con el Programa CVE para publicar vulnerabilidades comunes y exposiciones (CVE) para las vulnerabilidades que se han corregido en las versiones actuales o anteriores del sistema operativo de Azure Sphere.

Impacto del cliente de las CV de publicación

Los CV del sistema operativo solo se publican una vez que hay disponible una corrección. Todos los dispositivos que ejecutan Azure Sphere y que están conectados a Internet se actualizan automáticamente. Los dispositivos que ejecutan la versión más reciente siempre están protegidos. En el caso de los dispositivos que son nuevos o que no se han conectado a Internet durante un tiempo (por ejemplo, cuando la versión del sistema operativo es anterior a la versión del sistema operativo que contiene la corrección), se recomienda conectar el dispositivo a una red local privada segura con acceso a Internet y permitir que el dispositivo se actualice automáticamente.

Principios para la publicación de CVE

Las CV se pueden publicar para detectar vulnerabilidades en el sistema operativo de Azure Sphere que se pueden aprovechar "de forma predeterminada", en un período sin conexión prolongado o antes de que se realice una conexión con el servicio de seguridad de Azure Sphere. Las vulnerabilidades de las aplicaciones de cliente están fuera del ámbito para asignar un CVE. Las CVE para software de terceros son responsabilidad del fabricante correspondiente.

Los tipos de vulnerabilidades para los que publicamos LOS CV se pueden describir de tres maneras:

  • Impacto previo: vulnerabilidades relacionadas con cuándo se apaga un dispositivo de Azure Sphere y no se realiza una función que se podría aprovechar al incorporar el dispositivo y configurarlo.
  • Impacto invisible: vulnerabilidades relacionadas con cuando un dispositivo de Azure Sphere realiza activamente una función, pero no está conectado al servicio de seguridad de Azure Sphere para las actualizaciones que se podrían aprovechar sin interrumpir la función del dispositivo principal.
  • Impacto perjudicial: vulnerabilidades que impedirían que un dispositivo de Azure Sphere reciba automáticamente una actualización o desencadenaría una reversión de actualizaciones.

Contenido de las CV de Azure Sphere

Los CV de Azure Sphere constan de una breve descripción y puntuación en función del sistema de puntuación de vulnerabilidades comunes (CVSS), una evaluación del índice de vulnerabilidades, una preguntas más frecuentes específicas de Azure Sphere y una confirmación al buscador que lo informó. Este contenido es necesario en cada CVE y se incluye para todos los CV para productos de Microsoft.

Cuando se publican las CV de Azure Sphere

Los registros CVE se publicarán el segundo martes del mes (a.k.a. Microsoft Patch Tuesday) después de que se haya puesto a disposición de los clientes una corrección. Esperamos que las CV se publiquen de forma irregular cada vez que se notifique una vulnerabilidad, cumplen los principios descritos aquí y se fijan en la versión más reciente disponible del sistema operativo Azure Sphere. No publicaremos CVE antes de que una corrección esté disponible públicamente.

Búsqueda de CV de Azure Sphere

Para buscar una lista de todos los CV publicados para Azure Sphere, use "Sphere" para la búsqueda de palabras clave en la Guía de actualización de seguridad.

Los CV de Azure Sphere publicados también se muestran en Novedades de la versión en la que se corrigió la vulnerabilidad.