一般在公佈安全通報時,其實也會公告弱點的嚴重性與特性,像十月份微軟的安全通報裡,就列了三個重大的安全性通報、四個重要、二個中度,從這分類中就可以知道,比較嚴重的問題是那幾個,要先從那幾個公告開始看,不言自明。
再來有一些詞語也非常關鍵,可以讓你知道,這個弱點造成那些影響,像「取得完整控制權 」,代表說如果有人利用這個軟體的弱點來攻擊你的電腦的話,那他可以取得整台機器的完整控制權,換句話說,雖然他在網路的另外一端,但是他可以完完全全的控制你的電腦,做任何他想做的事。
再來像是「 遠端 」與「 本地 」這兩個關鍵字,則是說明這軟體弱點有可能被利用的情況,遠端就可利用的弱點,一般是比較危險的,因為只要你的電腦的連上網路,就有可能被攻擊,而本地可利用的弱點,則大多需要登入本機才能搞鬼,一般來說風險是比較小一點,所以看到遠端這兩個字,皮要繃緊一點。
以本月的 IE 瀏灠器安全公告為例,文中說到「 弱點的影響: 遠端 執行程式碼」然後在說明中又提到「攻擊者可以建立惡意網頁來利用這個弱點,在使用者造訪惡意網站時 遠端 執行程式碼。 成功利用此弱點的攻擊者可以取得受影響系統的 完整控制權 。」從這兒我們可以知道,一旦你的機器沒有修補,攻擊者又想辦法引誘你去逛他架的問題網站,那你就有可能中獎,從公告中的訊息,你可以知道,那些平台 ( 沒有修補 ),用那個軟體 ( 此例為 IE 瀏灠器 ) ,做了什麼事 ( 被引誘去逛惡意網站 ),然後就會倒大楣。假如你習慣用別種瀏灠器,比如說, opera 或是 firefox,那就不會遇到這個問題,因為這個安全公告所提的是 IE 的問題,而你用的並不是 IE ,又或者說,你瀏灠的網站,僅限於特定的大型網站,一些奇奇怪怪的網站你都不會看,雖然你用 IE ,但你倒大楣的機會也變小,因為你的使用習慣比一般人好,不會亂逛不知名的網站,而大型網站被植入問題網頁的機率小。
所以說,掌握關鍵,可以讓你快速了解軟體弱點的嚴重性與應對方式,而不用耗費時間細讀。 |