CVE di Azure Sphere

L'obiettivo di Microsoft è quello di premiare i ricercatori della sicurezza che hanno un interesse per Azure Sphere per individuare potenziali vulnerabilità e segnalarle in modo responsabile in base al principio di divulgazione coordinata delle vulnerabilità di Microsoft e al programma Bounty di Microsoft Azure. Il team di Azure Sphere accoglie e riconosce la community di ricerca sulla sicurezza per il proprio lavoro e aiuta a proteggere la soluzione nel tempo.

Vogliamo essere trasparenti sui miglioramenti della sicurezza. Microsoft collabora con il programma CVE per pubblicare vulnerabilità ed esposizioni comuni (CVE) per le vulnerabilità risolte nelle versioni correnti o precedenti del sistema operativo Azure Sphere.

Impatto del cliente sulla pubblicazione di CVE

I CVE per il sistema operativo vengono pubblicati solo dopo la disponibilità di una correzione. Tutti i dispositivi che eseguono Azure Sphere e sono connessi a Internet vengono aggiornati automaticamente. I dispositivi che eseguono la versione più recente sono quindi sempre protetti. Per i dispositivi nuovi o non connessi a Internet per un po' (ad esempio, quando la versione del sistema operativo è precedente alla versione del sistema operativo che contiene la correzione), è consigliabile connettere il dispositivo a una rete locale privata sicura con accesso a Internet e consentire al dispositivo di aggiornarsi automaticamente.

Principi per la pubblicazione di elenchi CVE

Le cve possono essere pubblicate per le vulnerabilità nel sistema operativo Azure Sphere che possono essere sfruttate "predefinite", in un periodo offline esteso o prima che venga stabilita una connessione al servizio di sicurezza di Azure Sphere. Le vulnerabilità nelle applicazioni dei clienti non rientrano nell'ambito per l'assegnazione di un CVE. Le CVE per software di terze parti sono responsabilità del rispettivo produttore.

I tipi di vulnerabilità per cui vengono pubblicati cve possono essere descritti in tre modi:

• Impatto preliminare: vulnerabilità correlate a quando un dispositivo Azure Sphere è spento e non esegue una funzione che potrebbe essere sfruttata durante l'attivazione e la configurazione del dispositivo.
• Impatto invisibile: vulnerabilità correlate a quando un dispositivo Azure Sphere esegue attivamente una funzione, ma non è connesso al servizio di sicurezza di Azure Sphere per gli aggiornamenti che potrebbero essere sfruttati senza interrompere la funzione del dispositivo primario.
• Impatto di interruzione: le vulnerabilità che impediscono a un dispositivo Azure Sphere di ricevere un aggiornamento automaticamente o attivano un rollback degli aggiornamenti.

Contenuto delle CVE di Azure Sphere

Le cve per Azure Sphere sono costituite da una breve descrizione e da un punteggio basato sul sistema CVSS (Common Vulnerability Scoring System), da una valutazione dell'indice di sfruttabilità, da domande frequenti specifiche di Azure Sphere e da un riconoscimento al finder che l'ha segnalato. Questo contenuto è obbligatorio in ogni CVE ed è incluso per tutti i CVEs per i prodotti Microsoft.

Quando vengono pubblicati CVE di Azure Sphere

I record CVE verranno pubblicati il secondo martedì del mese (ad esempio, Microsoft Patch Tuesday) dopo che una correzione è stata resa disponibile ai clienti. Si prevede che le CVE vengano pubblicate in modo irregolare ogni volta che viene segnalata una vulnerabilità, soddisfano i principi descritti qui e viene risolta nella versione più recente disponibile del sistema operativo Azure Sphere. Non pubblicheremo cves prima che una correzione sia disponibile pubblicamente.

Come trovare le CVE di Azure Sphere

Per trovare un elenco di tutti i CVE pubblicati per Azure Sphere, usare "Sphere" per la ricerca di parole chiave nella Guida all'aggiornamento della sicurezza.

Le cve di Azure Sphere pubblicate sono elencate anche in Novità per la versione in cui è stata risolta la vulnerabilità.