Azure Sphere CVE
重要
這是 Azure Sphere (舊版) 檔。 Azure Sphere(舊版)將於 2027 年 9 月 27 日淘汰,且使用者此時必須移轉至 Azure Sphere(整合式)。 使用位於 TOC 上方的版本選取器來檢視 Azure Sphere (整合式) 檔。
Microsoft的目標是獎勵對 Azure Sphere 有興趣尋找潛在弱點的安全性研究人員,並根據Microsoft協調 弱點披露 原則和 Microsoft Azure 賞金計劃負責報告這些弱點。 Azure Sphere 小組歡迎並認可安全性研究社群的工作,並協助確保解決方案在一段時間內的安全。
我們想要透明地瞭解我們的安全性改進。 我們會與 CVE 計劃 合作,針對目前或舊版 Azure Sphere OS 中已修正的弱點,發佈常見的弱點和暴露程度。
發佈 CVE 的客戶影響
OS 的 CVE 只有在有修正程式可用後才會發佈。 任何執行 Azure Sphere 且已連線到因特網的裝置都會自動更新。 因此,執行最新版本的裝置一律會受到保護。 對於新裝置或尚未連線到因特網一段時間的裝置(例如,當OS版本比包含修正的OS版本舊時),建議使用因特網存取將裝置連線到安全的專用局域網路,並允許裝置自動更新本身。
發佈 CVE 的原則
CES 可能會針對 Azure Sphere OS 中的弱點發佈,這些弱點可以在「現成」、離線期間或建立 Azure Sphere 安全性服務的連線之前惡意探索。 客戶應用程式中的弱點沒有指派 CVE 的範圍。 第三方軟體的 CVE 是個別製造商的責任。
我們發佈 CVE 的弱點類型有三種說明:
- 先發制人的影響: 當 Azure Sphere 裝置關閉電源時相關的弱點,且不會執行可在啟動裝置並加以設定時遭到惡意探索的函式。
- 無形的影響: 當 Azure Sphere 裝置主動執行函式時,與相關的弱點,但未連線到 Azure Sphere 安全性服務,以取得可能遭到惡意探索的更新,而不會中斷主要裝置功能。
- 干擾性影響: 會防止 Azure Sphere 裝置自動接收更新的弱點,或觸發更新回復。
Azure Sphere CVE 的內容
Azure Sphere 的 CVE 包含一個簡短的描述和分數,以 常見弱點評分系統 (CVSS)、 可利用性索引評估、Azure Sphere 特定的常見問題,以及向回報它的尋找者的認可。 每個 CVE 中都需要此內容,並包含在所有 MICROSOFT 產品的 CVE 中。
發佈 Azure Sphere CVE 時
CVE 記錄將在當月第二個星期二公佈(也就是星期二Microsoft修補程式), 之後 ,客戶可以使用修正程式。 我們預期每當向我們回報弱點時,CES 都會以不規則的方式發佈,並符合此處所述的原則,並在最新可用的 Azure Sphere OS 版本中修正。 在公開提供修正之前,我們不會發佈 CVE。
如何尋找 Azure Sphere CVE
若要尋找 Azure Sphere 所有已發佈的 CVE 清單,請在安全性更新指南中使用 「Sphere」 進行關鍵詞搜尋。