CVE Azure Sphere

L’objectif de Microsoft est de récompenser les chercheurs en sécurité qui ont un intérêt dans Azure Sphere pour trouver des vulnérabilités potentielles et les signaler de manière responsable en fonction du principe de divulgation coordonnée des vulnérabilités de Microsoft et du programme de primes Microsoft Azure. L’équipe Azure Sphere accueille et reconnaît la communauté de recherche en matière de sécurité pour son travail et aide à assurer la sécurité de notre solution au fil du temps.

Nous voulons être transparents quant à nos améliorations de sécurité. Nous nous associant au programme CVE pour publier des vulnérabilités et des expositions courantes (CVE) pour les vulnérabilités qui ont été corrigées dans les versions actuelles ou précédentes du système d’exploitation Azure Sphere.

Impact du client sur la publication des CVE

Les CVE pour le système d’exploitation ne sont publiées qu’une fois qu’un correctif est disponible. Tout appareil exécutant Azure Sphere et connecté à Internet est automatiquement mis à jour. Les appareils qui exécutent la dernière version sont donc toujours protégés. Pour les appareils qui sont nouveaux ou qui n’ont pas été connectés à Internet pendant un certain temps (par exemple, lorsque la version du système d’exploitation est antérieure à la version du système d’exploitation qui contient le correctif), nous vous recommandons de connecter l’appareil à un réseau local privé sécurisé avec un accès Internet et d’autoriser l’appareil à se mettre automatiquement à jour.

Principes de publication des CVE

Les CVE peuvent être publiées pour des vulnérabilités dans le système d’exploitation Azure Sphere qui peuvent être exploitées « prêtes à l’emploi », dans une période hors connexion prolongée ou avant la création d’une connexion au service de sécurité Azure Sphere. Les vulnérabilités dans les applications clientes sont hors de portée pour l’attribution d’une CVE. Les CVE pour les logiciels tiers sont responsables du fabricant respectif.

Les types de vulnérabilités pour lesquels nous publions des CVE peuvent être décrits de trois façons :

• Impact préemptif : vulnérabilités liées à la mise hors tension d’un appareil Azure Sphere et non à l’exécution d’une fonction qui peut être exploitée lors de la mise en place et de la configuration de l’appareil.
• Impact invisible : vulnérabilités liées au moment où un appareil Azure Sphere exécute activement une fonction, mais n’est pas connecté au service de sécurité Azure Sphere pour les mises à jour qui pourraient être exploitées sans perturber la fonction d’appareil principale.
• Impact perturbant : vulnérabilités qui empêchent un appareil Azure Sphere de recevoir automatiquement une mise à jour ou déclenchent une restauration de mise à jour.

Contenu des CVEs Azure Sphere

Les CVEs pour Azure Sphere se composent d’une brève description et d’un score basé sur le système DE scoring des vulnérabilités commun (CVSS), une évaluation d’index d’exploitabilité, une FAQ spécifique à Azure Sphere et un accusé de réception au finder qui l’a signalé. Ce contenu est requis dans chaque CVE et est inclus pour tous les cv pour les produits Microsoft.

Lorsque les cvEs Azure Sphere sont publiées

Les enregistrements CVE seront publiés le deuxième mardi du mois (a.k.a. Microsoft Patch Tuesday) une fois qu’un correctif a été mis à la disposition des clients. Nous nous attendons à ce que les EV soient publiées de manière irrégulière chaque fois qu’une vulnérabilité nous est signalée, répondent aux principes décrits ici et sont corrigées dans la dernière version disponible du système d’exploitation Azure Sphere. Nous ne publierons pas d’EV avant qu’un correctif ne soit disponible publiquement.

Comment trouver des CV Azure Sphere

Pour trouver la liste de tous les CVE publiés pour Azure Sphere, utilisez « Sphere » pour la recherche par mot clé dans le Guide de mise à jour de sécurité.

Les cves Azure Sphere publiées sont également répertoriées dans Les nouveautés de la version à laquelle la vulnérabilité a été corrigée.