15. 如附圖所示，某作業系統在同一天釋出四個安全更新。若資安團隊必須依照資安風險優先級安排安裝順序，最合理的順序是下列何項？

(A) 3 -＞ 2 -＞ 1 -＞ 4
(B) 1 -＞ 2 -＞ 4 -＞ 3
(C) 2 -＞ 1 -＞ 3 -＞ 4
(D) 2 -＞ 1 -＞ 4 -＞ 3

這題的正確答案是 (B) 1 -> 2 -> 4 -> 3。

以下是詳細的風險評估與排序解析：

排序邏輯：風險 = 衝擊程度 (CVSS) × 發生機率 (Exploit 狀態)

資安團隊在排定修補順序時，通常遵循「風險高低」與「急迫性」原則。

1. 第一優先：項目 1 (Kernel 本地提權漏洞)

   • CVSS 分數：9.0 (極高風險)。

   • 急迫性：已公開 exploit (攻擊程式)。這意味著駭客工具已經在網路上流傳，任何腳本小子都能輕易發動攻擊，威脅迫在眉睫。

   • 影響範圍：Kernel (核心) 層級的漏洞通常能讓攻擊者取得系統最高權限 (Root/System)，危害最大。

2. 第二優先：項目 2 (OpenSSL 資料外洩漏洞)

   • CVSS 分數：7.5 (中高風險)。

   • 急迫性：尚未出現 exploit，代表攻擊門檻較高，雖然還沒有立即被大規模利用的跡象，但因為影響機敏資料，必須在駭客開發出攻擊工具前修補完畢。

3. 第三優先：項目 4 (低風險應用程式錯誤)

   • CVSS 分數：3.0 (低風險)。

   • 影響範圍：僅影響單一非關鍵應用，且風險等級低。雖然仍是資安漏洞，但相較於前兩者，其危害有限，可排在後面處理。

4. 最後順位：項目 3 (GUI 顯示錯誤)

   • 性質：這屬於「功能異常 (Bug)」，而非「資安漏洞 (Vulnerability)」。

   • 優先級：顯示錯誤通常只影響使用者體驗 (UX)，不會導致資料外洩或系統被入侵。在資安維運的觀點中，功能性 Bug 的修補順序永遠排在安全漏洞之後。

結論：

依照嚴重程度與急迫性由高到低排列，順序應為：

(1) 高風險且有攻擊程式 -> (2) 中高風險 -> (4) 低風險 -> (3) 功能錯誤。

故選 (B)。