Bagikan melalui

CVE Azure Sphere

  • Artikel

Penting

Ini adalah dokumentasi Azure Sphere (Warisan). Azure Sphere (Warisan) dihentikan pada 27 September 2027, dan pengguna harus bermigrasi ke Azure Sphere (Terintegrasi) saat ini. Gunakan pemilih Versi yang terletak di atas TOC untuk melihat dokumentasi Azure Sphere (Terintegrasi).

Tujuan Microsoft adalah untuk menghargai peneliti keamanan yang memiliki minat pada Azure Sphere untuk menemukan potensi kerentanan dan melaporkannya secara bertanggung jawab sesuai dengan prinsip Pengungkapan Kerentanan Terkoordinasi Microsoft dan Program Bounty Microsoft Azure. Tim Azure Sphere menyambut dan mengakui komunitas penelitian keamanan atas pekerjaan mereka dan membantu menjaga keamanan solusi kami dari waktu ke waktu.

Kami ingin transparan tentang peningkatan keamanan kami. Kami bermitra dengan Program CVE untuk menerbitkan kerentanan dan paparan umum (CVE) untuk kerentanan yang telah diperbaiki dalam versi OS Azure Sphere saat ini atau sebelumnya.

Dampak pelanggan dari penerbitan CVE

CVE untuk OS hanya diterbitkan setelah perbaikan tersedia. Perangkat apa pun yang menjalankan Azure Sphere dan tersambung ke Internet diperbarui secara otomatis. Oleh karena itu, perangkat yang menjalankan versi terbaru selalu dilindungi. Untuk perangkat yang baru atau belum terhubung ke Internet untuk sementara waktu (misalnya, ketika versi OS lebih lama dari versi OS yang berisi perbaikan), sebaiknya sambungkan perangkat ke jaringan lokal privat yang aman dengan akses Internet dan memungkinkan perangkat memperbarui dirinya sendiri secara otomatis.

Prinsip untuk menerbitkan CVE

CVE dapat diterbitkan untuk kerentanan di OS Azure Sphere yang dapat dieksploitasi "di luar kotak", dalam periode offline yang diperpanjang, atau sebelum koneksi ke Azure Sphere Security Service dibuat. Kerentanan dalam aplikasi pelanggan berada di luar cakupan untuk menetapkan CVE. CVE untuk perangkat lunak pihak ketiga adalah tanggung jawab masing-masing produsen.

Jenis kerentanan yang kami terbitkan CVE dapat dijelaskan dengan tiga cara:

  • Dampak pre-emptive: Kerentanan yang terkait dengan ketika perangkat Azure Sphere dimatikan dan tidak melakukan fungsi yang dapat dieksploitasi sambil menaikkan perangkat dan mengonfigurasinya.
  • Dampak Tak Terlihat: Kerentanan yang terkait dengan ketika perangkat Azure Sphere secara aktif melakukan fungsi, tetapi tidak terhubung ke layanan Azure Sphere Security untuk pembaruan yang dapat dieksploitasi tanpa mengganggu fungsi perangkat utama.
  • Dampak Disruptif: Kerentanan yang akan mencegah perangkat Azure Sphere menerima pembaruan secara otomatis atau akan memicu pemutaran kembali pembaruan.

Konten CVE Azure Sphere

CVE untuk Azure Sphere terdiri dari deskripsi singkat dan skor berdasarkan sistem Penilaian Kerentanan Umum (CVSS), penilaian indeks eksploitasi, FAQ khusus Azure Sphere, dan pengakuan kepada pencari yang melaporkannya. Konten ini diperlukan di setiap CVE dan disertakan untuk semua CVE untuk produk Microsoft.

Saat CVE Azure Sphere diterbitkan

Catatan CVE akan diterbitkan pada hari Selasa kedua bulan (alias Microsoft Patch Selasa) setelah perbaikan tersedia untuk pelanggan. Kami mengharapkan CVE diterbitkan secara tidak teratur setiap kali kerentanan dilaporkan kepada kami, memenuhi prinsip-prinsip yang dijelaskan di sini, dan diperbaiki dalam versi terbaru os Azure Sphere yang tersedia. Kami tidak akan menerbitkan CVE sebelum perbaikan tersedia untuk umum.

Cara menemukan CVE Azure Sphere

Untuk menemukan daftar semua CVE yang diterbitkan untuk Azure Sphere, gunakan "Sphere" untuk pencarian kata kunci di Panduan Pembaruan Keamanan.

CVE Azure Sphere yang diterbitkan juga tercantum dalam Apa yang baru untuk rilis di mana kerentanan diperbaiki.