新的一年，您是否也立下新的願望，要扎扎實實地做好每次的系統修補呢？就讓我們一起來看看 2017 年 1 月 Microsoft 和Adobe 分別發布了哪些資安更新。

2017 年 Microsoft 首次更新 

在經過了刷新紀錄的 2016 年之後，微軟 2017 年的首次資安更新只包含了四份資安公告，分別解決了 Edge 瀏覽器、Office 軟體和 Windows 系統的三個漏洞；第四份公告則是有關 Adobe Flash 軟體。若說這次的更新微不足道，其實並不為過。但經過了 2016 年的風風雨雨之後，相信所有系統管理員對於這次只有小幅更新應該都非常感到慶幸。

若是硬要分出輕重緩急的話，那麼系統管理員應該優先套用的是 Edge 瀏覽器的修補，因為它解決了一個已知公開的跨網域隱碼攻擊。此外， LSASS 的安全公告也是個已知公開的漏洞，可能讓未修補的系統遭到阻斷服務 (DoS) 攻擊。此外，這份公告也提醒了我們必須封鎖網路邊境上的 TCP 389 連接埠，也就是 LSASS 預設的連接埠。雖然這只不過防堵了一個小小的缺口，但每一分防範都很重要。接下來該修補的是 SharePoint 和 Word 2016 當中可能讓駭客從遠端執行程式碼的重大漏洞。此漏洞有二點頗耐人尋味：首先，Office 的漏洞通常會歸類為「重要」而非「重大」，因為要讓使用者開啟某個檔案，需要經過多次對話方塊，但該漏洞卻歸類為「重大」。其次，Office 資安公告所揭露的問題，只有當可能在 Outlook 預覽窗格當中觸發的漏洞，才會升級至「重大」等級，但此次並非如此。最後一個該套用的是 Microsoft 自行開發的 Adobe Flash 修補程式。除此之外，本月就沒有其他資安公告了。

是的，您沒看錯，本月 Internet Explorer 沒有新的資安公告。或許有人會懷疑，這次資安公告數量這麼稀少是否跟 Microsoft 的測試週期有關，還是因為 Microsoft 刻意在移轉至Security Update Guide (資安更新指南) 之前刻意有所保留。不過，儘管該公司發布的資安修補資訊持續減少，但我們仍會盡可能針對每個月的資安更新提出詳盡的分析。 

2017 年 1 月 Adobe 修補程式

新的一年開始，Adobe 就發布了 Flash 和 Reader 的更新。在 Acrobat 與 Reader 方面此次共修補了 29 個漏洞，其中最嚴重的有可能讓駭客在受害系統上執行程式碼。我們的 ZDI 漏洞懸賞計畫也有幸發現了其中的13 個漏洞。在 Flash 方面，此次修正了 13 個漏洞。其中最嚴重的漏洞跟 Reader 一樣，也會讓駭客在受害系統上執行程式碼。所幸，此次 Adobe 修正的漏洞目前並未出現任何已知的攻擊。  繼續閱讀