|
PConline北京1月23日[文/操剛]“微軟的Vista講求的就是要把安全性能做到最好,但一旦我們公布的這個漏洞被攻破的話�����,他們最新的UAC技術(shù)將形同虛設(shè),那么vista就跟目前的XP系統(tǒng)沒有什么區(qū)別了���,這種后果是十分嚴(yán)重的����������! 1月22日下午����,業(yè)界知名安全專家劉旭正式向媒體通報微軟Vista操作系統(tǒng)存在可偽造用戶令牌的安全漏洞���,通過該漏洞�����,病毒可任意獲取電腦最高管理權(quán)并可對電腦進行任何操控��。 據(jù)悉����,UAC(User Account Control : 用戶帳戶控制)是微軟為提高系統(tǒng)安全而在Windows Vista中引入的新技術(shù),它要求所有用戶在標(biāo)準(zhǔn)賬號模式下運行程序和任務(wù)�,阻止未認(rèn)證的程序安裝,并阻止標(biāo)準(zhǔn)用戶進行不當(dāng)?shù)南到y(tǒng)設(shè)置改變�。 不過劉旭表示,Vista在這套新機制的技術(shù)實現(xiàn)時�����,出現(xiàn)了重大安全隱患�。劉旭通過演示指出���,Vista存在可仿冒“訪問令牌”的重大安全漏洞��。利用這個漏洞����,當(dāng)用戶以管理(administrator user) ����、一般用戶(standard user)甚至權(quán)限很低的訪客用戶(guest user)登陸系統(tǒng)時,惡意程序可通過偽造的訪問令牌替換系統(tǒng)生成的令牌�����,將用戶的權(quán)限自動提升為具有絕對控制權(quán)的超級管理員(full administrator user)權(quán)限,即不論什么類型的用戶�����,是本地登錄還是遠(yuǎn)程登錄�,都自動成為超級管理員,系統(tǒng)所運行的任何一個程序都自動具有了管理員權(quán)限�,從而完全繞過了UAC,使UAC形同虛設(shè)����。這時的Vista就同Windows XP一樣,用戶面臨了易遭受病毒�、黑客攻擊的風(fēng)險。 同時��,劉旭也同時表示了UAC在針對普及用戶時表現(xiàn)的三個不盡如人意的地方����,首先,普通用戶在開啟了UAC時�����,一般的操作都會出現(xiàn)不停的詢問對話框,給用戶造成了不方便��;其次���,對于UAC的詢問報警�,部分用戶很難做到準(zhǔn)確無誤的判斷����,這其中難免會碰到一些惡意軟件的蒙騙過關(guān);最后����,vista的上市可能會導(dǎo)致捆綁型木馬病毒的增多�。 據(jù)劉旭透露,此次作為演示的vista版本即是微軟即將上市的RTM版本�。 微軟正面回應(yīng):產(chǎn)品需完善否認(rèn)存有漏洞。 就在劉旭剛剛通報完vista漏洞事件之后�,PConline新聞組便收到了微軟官方的正面回復(fù)信件。信件表示����,微軟于本月12日就收到了來自東方微點公司(劉旭的職位為總經(jīng)理)的電子郵件,并隨即通過電子郵件進行了溝通����。按照彼此的溝通, 該問題需要用戶可以物理接觸到安裝vista系統(tǒng)的機器, 并以系統(tǒng)管理員的身份本地登陸�����,安裝一個惡意軟件來篡改Vista系統(tǒng)����,這樣當(dāng)使用者以普通用戶身份登陸后�����,他/她可以擁有系統(tǒng)管理員的權(quán)限�����。業(yè)界對系統(tǒng)漏洞的普遍理解是, 如果在普通用戶權(quán)限下能夠安裝軟件來篡改系統(tǒng)使得普通用戶獲得系統(tǒng)管理員的權(quán)限�,將說明存在系統(tǒng)漏洞,而演示并沒有表明可以這樣�����,并且在和該公司的所有溝通過程也沒有表明可以從遠(yuǎn)程來對系統(tǒng)進行攻擊, 因此綜上所述, 這個問題不是一個操作系統(tǒng)的漏洞�。 微軟方面同時表示,在Windows Vista的開發(fā)過程中��,安全被提到了一個前所未有的重視高度。但是軟件產(chǎn)品的特點決定了軟件產(chǎn)品的安全性不能達(dá)到百分之百��。即使再安全的操作系統(tǒng)��,安全問題也會一直存在�,黑客和病毒將會不斷地對系統(tǒng)進行攻擊,這也是為什么微軟加大安全力度���,保護用戶免受惡意軟件的侵襲�����。同時����,微軟也希望業(yè)界伙伴和其他相關(guān)人士能夠與微軟公司一道����,采取負(fù)責(zé)任的步驟和態(tài)度�����,共同保護用戶免受侵襲��。
|
