共用方式為


Azure 球體 CVE

Microsoft 的目標是獎勵對 Azure 球體感興趣的安全性研究者,以尋找潛在的弱點,並根據 Microsoft 的 協調弱點揭露 原則和 Microsoft Azure 賞金計畫負責任地報告這些弱點。 Azure 球體小組歡迎並認可安全性研究社群的工作,並協助確保我們一段時間的解決方案安全。

我們希望在改善安全性時保持透明。 我們與 CVE 計畫 合作,針對在目前或舊版 Azure 球體 OS 中修正的弱點,發佈常見的安全性弱點和暴露 (CVE) 。

發佈 CVE 的客戶影響

作業系統 CVEs 只有在有修正程式可用時才會發佈。 任何執行 Azure 球體且已連線到網際網路的裝置都會自動更新。 因此,執行最新版本的裝置一律受到保護。 對於是全新或已有一段時間未連線到網際網路的裝置, (舉例來說,當作業系統版本比包含修正) 的作業系統版本更舊時,建議您將裝置連線到具有網際網路存取權的安全專用本機網路,並允許裝置自動更新本身。

發佈 CVEs 的原則

CVE 可能會針對 Azure 球體 OS 中的弱點發布,這些弱點可以「開箱即用」、在延長的離線期間,或是在建立 Azure 球體安全性服務連線之前使用。 客戶應用程式中的弱點超出指派 CVE 的範圍。 協力廠商軟體的 CVEs 由個別製造商負責。

我們發佈 CVEs 的弱點類型可以用三種方式來描述:

  • 預先清空影響: 與 Azure 球體裝置關閉電源,以及未執行可在將裝置上移並設定時可能受利用的函數時相關的弱點。
  • 隱藏的影響: 與 Azure 球體裝置正在主動執行函數,但未連線至 Azure 球體安全性服務時的相關弱點,更新可能會在不中斷主要裝置函數的情況下被利用。
  • 干擾影響: 造成 Azure 球體裝置無法自動接收更新或觸發更新復原的弱點。

Azure 球體 CVE 的內容

Azure 球體的 CVE 包含一個簡短的描述和分數,以 常見的弱點分數系統 (CVSS) 惡意探索性索引評定、Azure 球體特定常見問題,以及對回報該資訊的尋找者表示認可。 此內容是每個 CVE 的必要專案,並包含在 Microsoft 產品的所有 CVEs 中。

發佈 Azure 球體 CVE 時

CVE 記錄將于每月的第二星期二 (,也稱為 Microsoft Patch 星期二) 推出修正程式給客戶 之後 。 我們預期每當向我們報告弱點時,CVE 會以不規則的方式發佈、符合此處所述的原則,並在最新可用的 Azure 球體作業系統版本中修正。 在修正程式公開提供之前,我們不會發佈 CVEs。

如何尋找 Azure 球體 CVE

若要尋找 Azure 球體所有已發佈的 CVE 清單,請在 安全性更新指南中使用「球體」做為關鍵字搜尋。

已發佈的 Azure 球體 CVE 也會 列在修正 該弱點之發行的新功能中。