CVE Azure Sphere
L’objectif de Microsoft est de récompenser les chercheurs en sécurité qui s’intéressent à Azure Sphere pour la recherche de vulnérabilités potentielles et leur signalement de manière responsable conformément au principe de divulgation coordonnée des vulnérabilités de Microsoft et au programme de primes Microsoft Azure. L’équipe Azure Sphere accueille et remercie la communauté de recherche en sécurité pour son travail et son aide pour assurer la sécurité de notre solution au fil du temps.
Nous voulons être transparents quant à nos améliorations de la sécurité. Nous travaillons en partenariat avec le programme CVE pour publier des vulnérabilités et des expositions courantes (CVE) pour les vulnérabilités qui ont été corrigées dans les versions actuelles ou antérieures du système d’exploitation Azure Sphere.
Impact sur les clients de la publication de CVE
Les CVE pour le système d’exploitation ne sont publiés qu’une fois qu’un correctif est disponible. Tout appareil qui exécute Azure Sphere et qui est connecté à Internet est automatiquement mis à jour. Les appareils qui exécutent la dernière version sont donc toujours protégés. Pour les appareils qui sont nouveaux ou qui n’ont pas été connectés à Internet depuis un certain temps (par exemple, lorsque la version du système d’exploitation est antérieure à la version du système d’exploitation qui contient le correctif), nous vous recommandons de connecter l’appareil à un réseau local privé sécurisé avec accès à Internet et de permettre à l’appareil de se mettre à jour automatiquement.
Principes pour la publication des CVE
Les cve peuvent être publiés pour des vulnérabilités dans le système d’exploitation Azure Sphere qui peuvent être exploitées « prêtes à l’emploi », pendant une période hors connexion prolongée ou avant l’installation d’une connexion au service de sécurité Azure Sphere. Les vulnérabilités dans les applications clientes sont hors de portée pour l’attribution d’un CVE. Les CVC pour les logiciels tiers sont sous la responsabilité du fabricant respectif.
Les types de vulnérabilités pour lesquels nous publions des CVE peuvent être décrits de trois manières :
- Impact préemptif : Vulnérabilités liées au moment où un appareil Azure Sphere est hors tension et n’exécute pas une fonction qui pourrait être exploitée lors de l’activation et de la configuration de l’appareil.
- Impact invisible : Vulnérabilités liées au moment où un appareil Azure Sphere exécute activement une fonction, mais n’est pas connecté au service de sécurité Azure Sphere pour les mises à jour qui pourraient être exploitées sans interrompre la fonction de l’appareil principal.
- Impact perturbateur : Vulnérabilités qui empêchent un appareil Azure Sphere de recevoir automatiquement une mise à jour ou déclenchent une restauration de mise à jour.
Contenu des CES Azure Sphere
Les CVE pour Azure Sphere se composent d’une brève description et d’un score basés sur le système de score de vulnérabilité commun (CVSS), d’une évaluation de l’index d’exploitabilité, d’un FAQ spécifique à Azure Sphere et d’un accusé de réception au chercheur qui l’a signalé. Ce contenu est requis dans chaque CVE et est inclus pour tous les CVE pour les produits Microsoft.
Quand les CVE Azure Sphere sont publiés
Les enregistrements CVE seront publiés le deuxième mardi du mois (également microsoft Patch Tuesday) une fois qu’un correctif a été mis à la disposition des clients. Nous nous attendons à ce que les CVE soient publiés de manière irrégulière chaque fois qu’une vulnérabilité nous est signalée, qu’elle répond aux principes décrits ici et qu’elle est corrigée dans la dernière version disponible du système d’exploitation Azure Sphere. Nous ne publierons pas de CVC avant qu’un correctif ne soit disponible publiquement.
Comment trouver des CVE Azure Sphere
Pour trouver la liste de tous les CSEE publiés pour Azure Sphere, utilisez « Sphere » pour la mot clé recherche dans le Guide de mise à jour de sécurité.
Les CVE Azure Sphere publiés sont également répertoriés dans Nouveautés de la version à laquelle la vulnérabilité a été corrigée.