loading

資安風險-NetSpectre的防護要點


2018. 8月 (week 31)提醒漏洞更新                                                                                      By ivanti Patch漏洞研究團隊 

資安風險-NetSpectre的防護要點


2018年將成為 Spectre / Meltdown 的一年,全年仍會發現新的變種。2018年7月底,奧地利格拉茨科技大學的研究人員發布了一篇名為“NetSpectre:藉由連網讀取感染的任一記憶體” 《NetSpectre: Read Arbitrary Memory over Network》的研究論文,描述了攻擊者可以經由鎖定電腦的網路埠來嘗試竊取資料。
最初在2018年1月份宣布的Spectre變種-1的漏洞(CVE-2017-5753),請勿低估修補漏洞的重要性。 雖然您的操作系統是最新的,但您可能仍然容易受到攻擊。完全修復需要兩步操作系統修補和韌體更新。
首先,必須更新作業系統。對於Windows,可應用多類更新程式來修復此漏洞。以Windows10為例,使用Windows 10的累積修補程式模型,1月份起釋出的更新程式將消除CVE-2017-5753的漏洞。 對於Windows 8.1 / 2012 R2及更早版本,1月或2月所發布的安全更新包、或1月起涵蓋相關漏洞的每月匯總更新, 但請記住,您應始終部署最新更新以獲取最新的安全修復程序,才會避免攻擊風險。
其次,需要修補電腦的韌體,這通常是採用BIOS更新,請到各電腦原廠網站去查詢相關更新連結,但這裡有一些常見供應商的鏈接:
Hewlett Packard   Enterprise   Dell Lenovo

第三方軟體更新

以下為近期釋出的第三方軟體更新,這些更新也許沒有列入CVE漏洞編號,但更新這些漏洞對於安全防護是有助益的:
Ivanti IDIvanti KB公告標題 Bulletin Title
ALLSYNC-006QALLSYNC18711Allway Sync 18.7.11
CHROME-231QGC680344084Google Chrome 68.0.3440.84
DROPBOX-089QDROPBOX54490DropBox 54.4.90
GOODSYNC-091QGS1095GoodSync 10.9.5
GOTOM-047QGTM832GoToMeeting 8.32.0
LIBRE-099QLIBRE606LibreOffice 6.0.6
MSNS18-08-VS2017QVS20171576Visual Studio 2017 version 15.7.6
PLXS-024QPLXS11355291Plex Media Server 1.13.5.5291
RTS4-013QRTS40360729Royal TS 4.3.60729
SM18-2494QSM2494SeaMonkey 2.49.4
TSF-012QTSF421470TreeSize Free 4.2.1.470

瞭解跨平台漏洞偵測與更新的最佳方案-ivanti Patch Manager

提供Windows、MAC、Linux跨平台及數百種軟體的漏洞偵測及更新服務,專利軟體推拉分發技術可兼顧流量調節,確實掌握每一台終端的修補狀態,完善更新修補作業系統及廣泛第三方軟體的漏洞!

技術發布