若是硬要分出輕重緩急的話,那麼系統管理員應該優先套用的是 Edge 瀏覽器的修補,因為它解決了一個已知公開的跨網域隱碼攻擊。此外, LSASS 的安全公告也是個已知公開的漏洞,可能讓未修補的系統遭到阻斷服務 (DoS) 攻擊。此外,這份公告也提醒了我們必須封鎖網路邊境上的 TCP 389 連接埠,也就是 LSASS 預設的連接埠。雖然這只不過防堵了一個小小的缺口,但每一分防範都很重要。接下來該修補的是 SharePoint 和 Word 2016 當中可能讓駭客從遠端執行程式碼的重大漏洞。此漏洞有二點頗耐人尋味:首先,Office 的漏洞通常會歸類為「重要」而非「重大」,因為要讓使用者開啟某個檔案,需要經過多次對話方塊,但該漏洞卻歸類為「重大」。其次,Office 資安公告所揭露的問題,只有當可能在 Outlook 預覽窗格當中觸發的漏洞,才會升級至「重大」等級,但此次並非如此。最後一個該套用的是 Microsoft 自行開發的 Adobe Flash 修補程式。除此之外,本月就沒有其他資安公告了。
是的,您沒看錯,本月 Internet Explorer 沒有新的資安公告。或許有人會懷疑,這次資安公告數量這麼稀少是否跟 Microsoft 的測試週期有關,還是因為 Microsoft 刻意在移轉至Security Update Guide (資安更新指南) 之前刻意有所保留。不過,儘管該公司發布的資安修補資訊持續減少,但我們仍會盡可能針對每個月的資安更新提出詳盡的分析。
