新的一年,您是否也立下新的願望,要扎扎實實地做好每次的系統修補呢?就讓我們一起來看看 2017 年 1 月 Microsoft 和Adobe 分別發布了哪些資安更新。
2017 年 Microsoft 首次更新
在經過了刷新紀錄的 2016 年之後,微軟 2017 年的首次資安更新只包含了四份資安公告,分別解決了 Edge 瀏覽器、Office 軟體和 Windows 系統的三個漏洞;第四份公告則是有關 Adobe Flash 軟體。若說這次的更新微不足道,其實並不為過。但經過了 2016 年的風風雨雨之後,相信所有系統管理員對於這次只有小幅更新應該都非常感到慶幸。
若是硬要分出輕重緩急的話,那麼系統管理員應該優先套用的是 Edge 瀏覽器的修補,因為它解決了一個已知公開的跨網域隱碼攻擊。此外, LSASS 的安全公告也是個已知公開的漏洞,可能讓未修補的系統遭到阻斷服務 (DoS) 攻擊。此外,這份公告也提醒了我們必須封鎖網路邊境上的 TCP 389 連接埠,也就是 LSASS 預設的連接埠。雖然這只不過防堵了一個小小的缺口,但每一分防範都很重要。接下來該修補的是 SharePoint 和 Word 2016 當中可能讓駭客從遠端執行程式碼的重大漏洞。此漏洞有二點頗耐人尋味:首先,Office 的漏洞通常會歸類為「重要」而非「重大」,因為要讓使用者開啟某個檔案,需要經過多次對話方塊,但該漏洞卻歸類為「重大」。其次,Office 資安公告所揭露的問題,只有當可能在 Outlook 預覽窗格當中觸發的漏洞,才會升級至「重大」等級,但此次並非如此。最後一個該套用的是 Microsoft 自行開發的 Adobe Flash 修補程式。除此之外,本月就沒有其他資安公告了。
是的,您沒看錯,本月 Internet Explorer 沒有新的資安公告。或許有人會懷疑,這次資安公告數量這麼稀少是否跟 Microsoft 的測試週期有關,還是因為 Microsoft 刻意在移轉至Security Update Guide (資安更新指南) 之前刻意有所保留。不過,儘管該公司發布的資安修補資訊持續減少,但我們仍會盡可能針對每個月的資安更新提出詳盡的分析。
2017 年 1 月 Adobe 修補程式
新的一年開始,Adobe 就發布了 Flash 和 Reader 的更新。在 Acrobat 與 Reader 方面此次共修補了 29 個漏洞,其中最嚴重的有可能讓駭客在受害系統上執行程式碼。我們的 ZDI 漏洞懸賞計畫也有幸發現了其中的13 個漏洞。在 Flash 方面,此次修正了 13 個漏洞。其中最嚴重的漏洞跟 Reader 一樣,也會讓駭客在受害系統上執行程式碼。所幸,此次 Adobe 修正的漏洞目前並未出現任何已知的攻擊。
行動裝置更新
有別於 Microsoft 和 Adobe 只有小幅更新,Google Android 本月大幅修正了 95 個漏洞。其中有許多都是重大漏洞,甚至還有一個是可讓駭客的惡意程式或惡意充電器重新啟動 Nexus 手機並安裝惡意程式碼的漏洞。若您家中也有 Android 手機,那您絕不能錯過此次更新。
展望未來
Microsoft 下一次定期更新 (Patch Tuesday) 預定在 2 月 14 日,到時候我們將再為您獻上詳盡的分析,您可在 Twitter 上追蹤我們 ZDI 漏洞懸賞計畫的最新動態。在那之前,希望大家都能修補得愉快,也祝大家每次重新開機都能順暢而乾淨俐落!
原文出處:The January 2017 Security Update Review 作者: Dustin Childs (Zero Day Initiative 通訊)