Risk Based Security將多家廠商選擇在相同時間週期釋出漏洞修補,對企業用戶造成的影響,就像位置彼此相近的颱風,可能引發情況複雜的藤原效應(Fujiwhara Effect)。(圖片來源/NASA on https://zh.wikipedia.org/wiki/藤原效應)

漏洞情報及風險評估業者Risk Based Security在上周警告,有愈來愈多的業者跟隨微軟的Patch Tuesday腳步,規畫在周二展開漏洞修補行動,現在至少有6家業者的修補日期可能撞期,將替企業帶來修補風暴,也可能讓企業的IT管理人員忙翻了。

而本周二(1/14)Risk Based Security的預言即已成真,在這一天,微軟修補了49個安全漏洞,Adobe修補了9個安全漏洞,比較令人頭皮發麻的可能是甲骨文修補了334個安全漏洞,SAP修補了6個安全漏洞,而Siemens與Schneider Electric也都在同一天進行修補。

其中,不管是微軟、Adobe、SAP、Siemens或Schneider Electric都把每月的第二個星期二訂為漏洞修補日,而甲骨文的重大修補更新(Critical Patch Update,CPU)雖然是每季才一次,但該公司把修補日訂為1月、4月、7月及10月時,最靠近17日的周二,於是甲骨文在今年1月14日、4月14日、7月14日的CPU都與微軟的Patch Tuesday同一天。

Risk Based Security指出,除了上述6家業者之外,Google、蘋果、Mozilla、英特爾、思科、F5與Juniper都可能把修補日訂為每月的第二個周二。

就算沒有甲骨文,Risk Based Security的漏洞資料庫研究團隊在去年12月微軟Patch Tuesday的當天,便分析與發布了188個安全漏洞。

Risk Based Security認為,缺乏適當的漏洞情報與程序的組織,將因無法一次處理如此大量被揭露的安全漏洞,而面臨實質上的風險,也建議企業應該要替每一次的Patch Tuesday提前進行準備。


Advertisement

更多 iThome相關內容