Condividi tramite

Azure Sphere CVEs

  • Articolo

L'obiettivo di Microsoft è premiare i ricercatori della sicurezza che sono interessati ad Azure Sphere per individuare potenziali vulnerabilità e segnalarle in modo responsabile in base al principio di divulgazione coordinata delle vulnerabilità di Microsoft e al programma Microsoft Azure Bounty. Il team di Azure Sphere accoglie con favore e riconosce la community di ricerca sulla sicurezza per il suo lavoro e aiuta a mantenere la nostra soluzione sicura nel tempo.

Vogliamo essere trasparenti riguardo ai miglioramenti della sicurezza. Microsoft collabora con il programma CVE per pubblicare vulnerabilità ed esposizioni comuni per vulnerabilità che sono state corrette nelle versioni correnti o precedenti del sistema operativo Azure Sphere.

Impatto dei clienti sulla pubblicazione di CVE

I file CVE per il sistema operativo vengono pubblicati solo una volta disponibile una correzione. Tutti i dispositivi che eseguono Azure Sphere ed è connesso a Internet vengono aggiornati automaticamente. I dispositivi che eseguono l'ultima versione sono quindi sempre protetti. Per i dispositivi nuovi o che non sono connessi a Internet da qualche tempo (ad esempio, quando la versione del sistema operativo è precedente alla versione del sistema operativo che contiene la correzione), è consigliabile connettere il dispositivo a una rete locale privata sicura con accesso a Internet e consentire al dispositivo di aggiornarsi automaticamente.

Principi per la pubblicazione di cve

I FILE CVE possono essere pubblicati per vulnerabilità nel sistema operativo Azure Sphere che possono essere sfruttate "fuori dagli schemi", in un periodo offline prolungato o prima che venga stabilita una connessione al servizio di sicurezza Azure Sphere. Le vulnerabilità nelle applicazioni dei clienti non rientrano nell'ambito per l'assegnazione di un CVE. I CVE per software di terze parti sono responsabilità del rispettivo produttore.

I tipi di vulnerabilità per cui pubblichiamo cve possono essere descritti in tre modi:

  • Impatto preventivo: Vulnerabilità correlate a quando un dispositivo Azure Sphere viene spento e non esegue una funzione che potrebbe essere sfruttata per l'aumento e la configurazione del dispositivo.
  • Impatto invisibile: Vulnerabilità correlate a quando un dispositivo Azure Sphere esegue attivamente una funzione, ma non è connesso al servizio Azure Sphere Security per gli aggiornamenti che potrebbero essere sfruttati senza interrompere la funzione primaria del dispositivo.
  • Impatto distruttivo: Vulnerabilità che impediscono a un dispositivo Azure Sphere di ricevere automaticamente un aggiornamento o attivano un rollback dell'aggiornamento.

Contenuto dei CVE Azure Sphere

I CVE per Azure Sphere sono costituiti da una breve descrizione e punteggio in base al sistema CVSS (Common Vulnerability Scoring System), a una valutazione dell'indice di exploitability, a domande frequenti specifiche di Azure Sphere e a un riconoscimento al finder che lo ha segnalato. Questo contenuto è obbligatorio in ogni CVE ed è incluso per tutti i CVE per i prodotti Microsoft.

Quando vengono pubblicati i CVE Azure Sphere

I record CVE verranno pubblicati il secondo martedì del mese (ovvero Microsoft Patch Tuesday) dopo la disponibilità di una correzione per i clienti. Prevediamo che i file CVE vengano pubblicati su base irregolare ogni volta che una vulnerabilità ci viene segnalata, soddisfa i principi descritti qui e viene risolta nell'ultima versione disponibile del sistema operativo Azure Sphere. Non pubblicheremo cve prima che una correzione sia disponibile pubblicamente.

Come trovare I CVE di Azure Sphere

Per trovare un elenco di tutti i CVE pubblicati per Azure Sphere, usa "Sphere" per la ricerca delle parole chiave nella Guida all'aggiornamento della sicurezza.

I CVE Azure Sphere pubblicati sono elencati anche in Novità per la versione in cui è stata risolta la vulnerabilità.