Azure Sphere CVE
重要
これは Azure Sphere (レガシ) のドキュメントです。 Azure Sphere (レガシ) は 2027 年 9 月 27 日に 再提供されておりユーザーは現時点で Azure Sphere (統合) に移行する必要があります。 TOC の上にある Version セレクターを使用して、Azure Sphere (統合) のドキュメントを表示します。
Microsoft の目標は、潜在的な脆弱性を見つけ出し、Microsoft の 準拠した脆弱性の開示 原則と Microsoft Azure 報奨金プログラムに従って責任を持って報告することに Azure Sphere に関心を持っているセキュリティ研究者に報酬を与することです。 Azure Sphere チームは、セキュリティ研究コミュニティの作業を歓迎し、認識し、時間の経過と同時にソリューションのセキュリティを維持するのに役立ちます。
セキュリティの強化について透明性を確保したいと考えています。 Microsoft は、 CVE プログラム と提携して、Azure Sphere OS の現在または以前のバージョンで修正された脆弱性に対する一般的な脆弱性と露出 (CVE) を公開します。
CVE の発行に対するお客様の影響
OS の CVE は、修正プログラムが使用可能な場合にのみ公開されます。 Azure Sphere を実行していて、インターネットに接続されているすべてのデバイスが自動的に更新されます。 したがって、最新バージョンを実行しているデバイスは常に保護されます。 新しいデバイスまたはインターネットにしばらく接続されていないデバイス (たとえば、OS バージョンが修正プログラムを含む OS バージョンより古い場合) は、デバイスをインターネット アクセスを使用してセキュリティで保護されたプライベート ローカル ネットワークに接続し、デバイスが自動的に更新されるようにすることをお勧めします。
CVE の公開の原則
CVE は、Azure Sphere OS の脆弱性に対して公開される可能性があります。この脆弱性は、"すぐに使用できない" か、長時間オフラインで、または Azure Sphere Security Service への接続が確立される前に悪用される可能性があります。 お客様のアプリケーションの脆弱性は、CVE を割り当てるための範囲外です。 サードパーティ製ソフトウェアの CVE は、それぞれの製造元の責任です。
CVE を公開する脆弱性の種類は、次の 3 つの方法で記述できます。
- プリエンプティブな影響: Azure Sphere デバイスの電源がオフになっているときに関連する脆弱性であり、デバイスを起動して構成しているときに悪用される可能性のある機能を実行しません。
- 非表示の影響: Azure Sphere デバイスがアクティブに機能を実行しているが、プライマリ デバイス機能を中断することなく悪用される可能性のある更新プログラムのために Azure Sphere セキュリティ サービスに接続されていない場合に関連する脆弱性。
- 破壊的影響: Azure Sphere デバイスが自動的に更新プログラムを受信できなくなるか、更新プログラムのロールバックをトリガーする脆弱性。
Azure Sphere CVE の内容
Azure Sphere の CVE は、 Common Vulnerability Scoring system (CVSS)、 exploitability index assessment、Azure Sphere 固有の FAQ、および報告者に対する受信確認に基づく簡単な説明とスコアで構成されています。 このコンテンツはすべての CVE で必要であり、Microsoft 製品のすべての CVE に含まれています。
Azure Sphere CVE が発行されたとき
CVE レコードは、月の第 2 火曜日 (Microsoft Patch Tuesday など) お客様が修正プログラムを公開する予定です。 脆弱性が報告され、ここで説明されている原則を満たし、Azure Sphere OS の最新バージョンで修正されるたびに、CVE が不規則に公開されることを期待しています。 修正プログラムが公開される前に CVE を公開しません。
Azure Sphere CVE を検索する方法
Azure Sphere で公開されているすべての CVE の一覧を見つけるには、 Security Update Guide のキーワード検索に "Sphere" を使用します。
公開された Azure Sphere CVE は、 脆弱性が修正されたリリースの新機能 にも記載されています。