|
PConline北京1月23日[文/操剛]“微軟的Vista講求的就是要把安全性能做到最好����,但一旦我們公布的這個(gè)漏洞被攻破的話,他們最新的UAC技術(shù)將形同虛設(shè)���,那么vista就跟目前的XP系統(tǒng)沒(méi)有什么區(qū)別了�,這種后果是十分嚴(yán)重的�。” 1月22日下午�����,業(yè)界知名安全專(zhuān)家劉旭正式向媒體通報(bào)微軟Vista操作系統(tǒng)存在可偽造用戶令牌的安全漏洞���,通過(guò)該漏洞���,病毒可任意獲取電腦最高管理權(quán)并可對(duì)電腦進(jìn)行任何操控����。 據(jù)悉�����,UAC(User Account Control : 用戶帳戶控制)是微軟為提高系統(tǒng)安全而在Windows Vista中引入的新技術(shù)����,它要求所有用戶在標(biāo)準(zhǔn)賬號(hào)模式下運(yùn)行程序和任務(wù),阻止未認(rèn)證的程序安裝�,并阻止標(biāo)準(zhǔn)用戶進(jìn)行不當(dāng)?shù)南到y(tǒng)設(shè)置改變。 不過(guò)劉旭表示���,Vista在這套新機(jī)制的技術(shù)實(shí)現(xiàn)時(shí)��,出現(xiàn)了重大安全隱患�。劉旭通過(guò)演示指出���,Vista存在可仿冒“訪問(wèn)令牌”的重大安全漏洞���。利用這個(gè)漏洞����,當(dāng)用戶以管理(administrator user) ����、一般用戶(standard user)甚至權(quán)限很低的訪客用戶(guest user)登陸系統(tǒng)時(shí)���,惡意程序可通過(guò)偽造的訪問(wèn)令牌替換系統(tǒng)生成的令牌�����,將用戶的權(quán)限自動(dòng)提升為具有絕對(duì)控制權(quán)的超級(jí)管理員(full administrator user)權(quán)限����,即不論什么類(lèi)型的用戶�,是本地登錄還是遠(yuǎn)程登錄,都自動(dòng)成為超級(jí)管理員�,系統(tǒng)所運(yùn)行的任何一個(gè)程序都自動(dòng)具有了管理員權(quán)限,從而完全繞過(guò)了UAC��,使UAC形同虛設(shè)���。這時(shí)的Vista就同Windows XP一樣�����,用戶面臨了易遭受病毒���、黑客攻擊的風(fēng)險(xiǎn)�。 同時(shí)����,劉旭也同時(shí)表示了UAC在針對(duì)普及用戶時(shí)表現(xiàn)的三個(gè)不盡如人意的地方,首先��,普通用戶在開(kāi)啟了UAC時(shí)�����,一般的操作都會(huì)出現(xiàn)不停的詢問(wèn)對(duì)話框����,給用戶造成了不方便;其次����,對(duì)于UAC的詢問(wèn)報(bào)警,部分用戶很難做到準(zhǔn)確無(wú)誤的判斷,這其中難免會(huì)碰到一些惡意軟件的蒙騙過(guò)關(guān)����;最后,vista的上市可能會(huì)導(dǎo)致捆綁型木馬病毒的增多�����。 據(jù)劉旭透露�����,此次作為演示的vista版本即是微軟即將上市的RTM版本�。 微軟正面回應(yīng):產(chǎn)品需完善否認(rèn)存有漏洞����。 就在劉旭剛剛通報(bào)完vista漏洞事件之后,PConline新聞組便收到了微軟官方的正面回復(fù)信件��。信件表示��,微軟于本月12日就收到了來(lái)自東方微點(diǎn)公司(劉旭的職位為總經(jīng)理)的電子郵件���,并隨即通過(guò)電子郵件進(jìn)行了溝通�。按照彼此的溝通, 該問(wèn)題需要用戶可以物理接觸到安裝vista系統(tǒng)的機(jī)器, 并以系統(tǒng)管理員的身份本地登陸,安裝一個(gè)惡意軟件來(lái)篡改Vista系統(tǒng)����,這樣當(dāng)使用者以普通用戶身份登陸后,他/她可以擁有系統(tǒng)管理員的權(quán)限�。業(yè)界對(duì)系統(tǒng)漏洞的普遍理解是, 如果在普通用戶權(quán)限下能夠安裝軟件來(lái)篡改系統(tǒng)使得普通用戶獲得系統(tǒng)管理員的權(quán)限,將說(shuō)明存在系統(tǒng)漏洞��,而演示并沒(méi)有表明可以這樣�,并且在和該公司的所有溝通過(guò)程也沒(méi)有表明可以從遠(yuǎn)程來(lái)對(duì)系統(tǒng)進(jìn)行攻擊, 因此綜上所述, 這個(gè)問(wèn)題不是一個(gè)操作系統(tǒng)的漏洞。 微軟方面同時(shí)表示����,在Windows Vista的開(kāi)發(fā)過(guò)程中,安全被提到了一個(gè)前所未有的重視高度���。但是軟件產(chǎn)品的特點(diǎn)決定了軟件產(chǎn)品的安全性不能達(dá)到百分之百�。即使再安全的操作系統(tǒng)����,安全問(wèn)題也會(huì)一直存在,黑客和病毒將會(huì)不斷地對(duì)系統(tǒng)進(jìn)行攻擊����,這也是為什么微軟加大安全力度�,保護(hù)用戶免受惡意軟件的侵襲���。同時(shí)�,微軟也希望業(yè)界伙伴和其他相關(guān)人士能夠與微軟公司一道����,采取負(fù)責(zé)任的步驟和態(tài)度,共同保護(hù)用戶免受侵襲�����。
|
