2018. 8月 (week 31)提醒漏洞更新 By ivanti Patch漏洞研究團隊
資安風險-NetSpectre的防護要點
2018年將成為 Spectre / Meltdown 的一年,全年仍會發現新的變種。2018年7月底,奧地利格拉茨科技大學的研究人員發布了一篇名為“NetSpectre:藉由連網讀取感染的任一記憶體” 《NetSpectre: Read Arbitrary Memory over Network》的研究論文,描述了攻擊者可以經由鎖定電腦的網路埠來嘗試竊取資料。
最初在2018年1月份宣布的Spectre變種-1的漏洞(CVE-2017-5753),請勿低估修補漏洞的重要性。 雖然您的操作系統是最新的,但您可能仍然容易受到攻擊。完全修復需要兩步操作系統修補和韌體更新。
首先,必須更新作業系統。對於Windows,可應用多類更新程式來修復此漏洞。以Windows10為例,使用Windows 10的累積修補程式模型,1月份起釋出的更新程式將消除CVE-2017-5753的漏洞。 對於Windows 8.1 / 2012 R2及更早版本,1月或2月所發布的安全更新包、或1月起涵蓋相關漏洞的每月匯總更新, 但請記住,您應始終部署最新更新以獲取最新的安全修復程序,才會避免攻擊風險。
其次,需要修補電腦的韌體,這通常是採用BIOS更新,請到各電腦原廠網站去查詢相關更新連結,但這裡有一些常見供應商的鏈接:
Hewlett Packard Enterprise Dell Lenovo
第三方軟體更新
以下為近期釋出的第三方軟體更新,這些更新也許沒有列入CVE漏洞編號,但更新這些漏洞對於安全防護是有助益的:
Ivanti ID | Ivanti KB | 公告標題 Bulletin Title |
ALLSYNC-006 | QALLSYNC18711 | Allway Sync 18.7.11 |
CHROME-231 | QGC680344084 | Google Chrome 68.0.3440.84 |
DROPBOX-089 | QDROPBOX54490 | DropBox 54.4.90 |
GOODSYNC-091 | QGS1095 | GoodSync 10.9.5 |
GOTOM-047 | QGTM832 | GoToMeeting 8.32.0 |
LIBRE-099 | QLIBRE606 | LibreOffice 6.0.6 |
MSNS18-08-VS2017 | QVS20171576 | Visual Studio 2017 version 15.7.6 |
PLXS-024 | QPLXS11355291 | Plex Media Server 1.13.5.5291 |
RTS4-013 | QRTS40360729 | Royal TS 4.3.60729 |
SM18-2494 | QSM2494 | SeaMonkey 2.49.4 |
TSF-012 | QTSF421470 | TreeSize Free 4.2.1.470 |
瞭解跨平台漏洞偵測與更新的最佳方案-ivanti Patch Manager
提供Windows、MAC、Linux跨平台及數百種軟體的漏洞偵測及更新服務,專利軟體推拉分發技術可兼顧流量調節,確實掌握每一台終端的修補狀態,完善更新修補作業系統及廣泛第三方軟體的漏洞!