CVEs do Azure Sphere

O objetivo da Microsoft é recompensar os pesquisadores de segurança que têm interesse no Azure Sphere por encontrar possíveis vulnerabilidades e relatá-las com responsabilidade, de acordo com o princípio de Divulgação Coordenada de Vulnerabilidades da Microsoft e o Programa de Recompensas do Microsoft Azure. A equipe do Azure Sphere dá as boas-vindas e reconhece a comunidade de pesquisa de segurança por seu trabalho e ajuda para manter nossa solução segura ao longo do tempo.

Queremos ser transparentes sobre nossas melhorias de segurança. Temos parceria com o Programa CVE para publicar vulnerabilidades e exposições comuns (CVEs) para vulnerabilidades que foram corrigidas nas versões atuais ou anteriores do sistema operacional do Azure Sphere.

Impacto da publicação de CVEs para o cliente

Os CVEs para o sistema operacional são publicados apenas quando uma correção está disponível. Qualquer dispositivo que esteja executando o Azure Sphere e conectado à Internet é atualizado automaticamente. Os dispositivos que executam a versão mais recente estão, portanto, sempre protegidos. Para dispositivos novos ou que não estão conectados à Internet há algum tempo (por exemplo, quando a versão do sistema operacional é mais antiga do que a versão do sistema operacional que contém a correção), recomendamos conectar o dispositivo a uma rede local privada segura com acesso à Internet e permitir que o dispositivo se atualize automaticamente.

Princípios para a publicação de CVEs

Os CVEs podem ser publicados para vulnerabilidades no sistema operacional do Azure Sphere que podem ser exploradas "prontas para uso", em um período offline estendido ou antes que uma conexão com o Serviço de Segurança do Azure Sphere seja feita. Vulnerabilidades em aplicativos do cliente estão fora do escopo para atribuir um CVE. Os CVEs para software de terceiros são de responsabilidade do respectivo fabricante.

Os tipos de vulnerabilidades para as quais publicamos CVEs podem ser descritos de três maneiras:

• Impacto preventivo: vulnerabilidades relacionadas a quando um dispositivo do Azure Sphere é desligado e não executa uma função que pode ser explorada ao ativar e configurar o dispositivo.
• Impacto invisível: vulnerabilidades relacionadas a quando um dispositivo do Azure Sphere está executando ativamente uma função, mas não está conectado ao serviço de segurança do Azure Sphere para atualizações que podem ser exploradas sem interromper a função primária do dispositivo.
• Impacto disruptivo: vulnerabilidades que impediriam um dispositivo do Azure Sphere de receber uma atualização automaticamente ou disparariam uma reversão de atualização.

Conteúdo dos CVEs do Azure Sphere

Os CVEs para o Azure Sphere consistem em uma breve descrição e pontuação com base no CVSS (Common Vulnerability Scoring system), uma avaliação de índice de exploração, uma FAQ específica do Azure Sphere e uma confirmação para o localizador que o relatou. Esse conteúdo é necessário em todos os CVEs e está incluído em todos os CVEs para produtos da Microsoft.

Quando os CVEs do Azure Sphere são publicados

Os registros CVE serão publicados na segunda terça-feira do mês (também conhecida como Microsoft Patch Tuesday) depois que uma correção for disponibilizada aos clientes. Esperamos que os CVEs sejam publicados de forma irregular sempre que uma vulnerabilidade for relatada para nós, atender aos princípios descritos aqui e for corrigida na versão mais recente disponível do sistema operacional do Azure Sphere. Não publicaremos CVEs antes que uma correção esteja disponível publicamente.

Como encontrar CVEs do Azure Sphere

Para encontrar uma lista de todos os CVEs publicados para o Azure Sphere, use "Sphere" para a pesquisa de palavra-chave no Guia de Atualização de Segurança.

Os CVEs do Azure Sphere publicados também estão listados em Novidades da versão em que a vulnerabilidade foi corrigida.