Compartilhar via

Azure Sphere CVEs

  • Artigo

O objetivo da Microsoft é recompensar pesquisadores de segurança que têm interesse no Azure Sphere por encontrar vulnerabilidades potenciais e reportá-las com responsabilidade de acordo com o princípio de Divulgação Coordenada de Vulnerabilidades da Microsoft e o Programa de Recompensa do Microsoft Azure. A equipe do Azure Sphere recebe e reconhece a comunidade de pesquisa de segurança por seu trabalho e ajuda para manter nossa solução segura ao longo do tempo.

Queremos ser transparentes sobre nossas melhorias de segurança. Fazemos parceria com o Programa CVE para publicar CVEs (vulnerabilidades e exposições comuns) para vulnerabilidades que foram corrigidas em versões atuais ou anteriores do sistema operacional do Azure Sphere.

Impacto do cliente na publicação de CVEs

Os CVEs para o sistema operacional só são publicados quando uma correção está disponível. Qualquer dispositivo que esteja executando o Azure Sphere e esteja conectado à Internet é atualizado automaticamente. Os dispositivos que estão executando a versão mais recente são, portanto, sempre protegidos. Para dispositivos novos ou não conectados à Internet há algum tempo (por exemplo, quando a versão do sistema operacional é mais antiga que a versão do sistema operacional que contém a correção), recomendamos conectar o dispositivo a uma rede local segura e privada com acesso à Internet e permitir que o dispositivo se atualize automaticamente.

Princípios para publicação de CVEs

Os CVEs podem ser publicados para vulnerabilidades no sistema operacional do Azure Sphere que podem ser exploradas "fora da caixa", em um período offline estendido ou antes que uma conexão com o Serviço de Segurança do Azure Sphere seja feita. As vulnerabilidades em aplicativos de cliente estão fora do escopo para atribuir uma CVE. Os CVEs para software de terceiros são responsabilidade do respectivo fabricante.

Os tipos de vulnerabilidades para os quais publicamos CVEs podem ser descritos de três maneiras:

  • Impacto preventivo: Vulnerabilidades relacionadas a quando um dispositivo do Azure Sphere é desligado e não executa uma função que pode ser explorada ao criar e configurá-lo.
  • Impacto Invisível: Vulnerabilidades relacionadas a quando um dispositivo do Azure Sphere está executando ativamente uma função, mas não está conectado ao serviço de Segurança do Azure Sphere para atualizações que poderiam ser exploradas sem interromper a função de dispositivo primário.
  • Impacto disruptivo: Vulnerabilidades que impediriam um dispositivo do Azure Sphere de receber uma atualização automaticamente ou disparariam uma reversão de atualização.

Conteúdo dos CVEs do Azure Sphere

Os CVEs do Azure Sphere consistem em uma breve descrição e pontuação com base no CVSS (common vulnerability score system), uma avaliação de índice de explorabilidade, uma perguntas frequentes específicas do Azure Sphere e um reconhecimento ao localizador que o relatou. Esse conteúdo é necessário em cada CVE e está incluído em todos os CVEs para produtos microsoft.

Quando os CVEs do Azure Sphere são publicados

Os registros CVE serão publicados na segunda terça-feira do mês (também conhecido como Microsoft Patch Tuesday) depois que uma correção for disponibilizada aos clientes. Esperamos que os CVEs sejam publicados de forma irregular sempre que uma vulnerabilidade for relatada a nós, atenda aos princípios descritos aqui e seja corrigida na versão mais recente disponível do sistema operacional do Azure Sphere. Não publicaremos CVEs antes que uma correção esteja disponível publicamente.

Como encontrar CVEs do Azure Sphere

Para encontrar uma lista de todos os CVEs publicados para o Azure Sphere, use "Sphere" para a pesquisa palavra-chave no Guia de Atualização de Segurança.

Os CVEs do Azure Sphere publicados também estão listados em Novidades para a versão na qual a vulnerabilidade foi corrigida.