|
PConline北京1月23日[文/操剛]“微軟的Vista講求的就是要把安全性能做到最好�,但一旦我們公布的這個(gè)漏洞被攻破的話,他們最新的UAC技術(shù)將形同虛設(shè),那么vista就跟目前的XP系統(tǒng)沒(méi)有什么區(qū)別了,這種后果是十分嚴(yán)重的���! 1月22日下午��,業(yè)界知名安全專家劉旭正式向媒體通報(bào)微軟Vista操作系統(tǒng)存在可偽造用戶令牌的安全漏洞,通過(guò)該漏洞���,病毒可任意獲取電腦最高管理權(quán)并可對(duì)電腦進(jìn)行任何操控。 據(jù)悉��,UAC(User Account Control : 用戶帳戶控制)是微軟為提高系統(tǒng)安全而在Windows Vista中引入的新技術(shù)����,它要求所有用戶在標(biāo)準(zhǔn)賬號(hào)模式下運(yùn)行程序和任務(wù),阻止未認(rèn)證的程序安裝�����,并阻止標(biāo)準(zhǔn)用戶進(jìn)行不當(dāng)?shù)南到y(tǒng)設(shè)置改變�。 不過(guò)劉旭表示,Vista在這套新機(jī)制的技術(shù)實(shí)現(xiàn)時(shí)�����,出現(xiàn)了重大安全隱患��。劉旭通過(guò)演示指出��,Vista存在可仿冒“訪問(wèn)令牌”的重大安全漏洞。利用這個(gè)漏洞�,當(dāng)用戶以管理(administrator user) ��、一般用戶(standard user)甚至權(quán)限很低的訪客用戶(guest user)登陸系統(tǒng)時(shí),惡意程序可通過(guò)偽造的訪問(wèn)令牌替換系統(tǒng)生成的令牌�,將用戶的權(quán)限自動(dòng)提升為具有絕對(duì)控制權(quán)的超級(jí)管理員(full administrator user)權(quán)限���,即不論什么類型的用戶���,是本地登錄還是遠(yuǎn)程登錄���,都自動(dòng)成為超級(jí)管理員����,系統(tǒng)所運(yùn)行的任何一個(gè)程序都自動(dòng)具有了管理員權(quán)限���,從而完全繞過(guò)了UAC�,使UAC形同虛設(shè)��。這時(shí)的Vista就同Windows XP一樣�����,用戶面臨了易遭受病毒、黑客攻擊的風(fēng)險(xiǎn)�。 同時(shí)�,劉旭也同時(shí)表示了UAC在針對(duì)普及用戶時(shí)表現(xiàn)的三個(gè)不盡如人意的地方�����,首先���,普通用戶在開(kāi)啟了UAC時(shí)���,一般的操作都會(huì)出現(xiàn)不停的詢問(wèn)對(duì)話框�����,給用戶造成了不方便��;其次,對(duì)于UAC的詢問(wèn)報(bào)警�����,部分用戶很難做到準(zhǔn)確無(wú)誤的判斷�,這其中難免會(huì)碰到一些惡意軟件的蒙騙過(guò)關(guān)�;最后,vista的上市可能會(huì)導(dǎo)致捆綁型木馬病毒的增多�。 據(jù)劉旭透露����,此次作為演示的vista版本即是微軟即將上市的RTM版本����。 微軟正面回應(yīng):產(chǎn)品需完善否認(rèn)存有漏洞。 就在劉旭剛剛通報(bào)完vista漏洞事件之后,PConline新聞組便收到了微軟官方的正面回復(fù)信件����。信件表示�����,微軟于本月12日就收到了來(lái)自東方微點(diǎn)公司(劉旭的職位為總經(jīng)理)的電子郵件,并隨即通過(guò)電子郵件進(jìn)行了溝通。按照彼此的溝通, 該問(wèn)題需要用戶可以物理接觸到安裝vista系統(tǒng)的機(jī)器, 并以系統(tǒng)管理員的身份本地登陸����,安裝一個(gè)惡意軟件來(lái)篡改Vista系統(tǒng)��,這樣當(dāng)使用者以普通用戶身份登陸后,他/她可以擁有系統(tǒng)管理員的權(quán)限。業(yè)界對(duì)系統(tǒng)漏洞的普遍理解是, 如果在普通用戶權(quán)限下能夠安裝軟件來(lái)篡改系統(tǒng)使得普通用戶獲得系統(tǒng)管理員的權(quán)限�,將說(shuō)明存在系統(tǒng)漏洞��,而演示并沒(méi)有表明可以這樣,并且在和該公司的所有溝通過(guò)程也沒(méi)有表明可以從遠(yuǎn)程來(lái)對(duì)系統(tǒng)進(jìn)行攻擊, 因此綜上所述, 這個(gè)問(wèn)題不是一個(gè)操作系統(tǒng)的漏洞。 微軟方面同時(shí)表示,在Windows Vista的開(kāi)發(fā)過(guò)程中���,安全被提到了一個(gè)前所未有的重視高度。但是軟件產(chǎn)品的特點(diǎn)決定了軟件產(chǎn)品的安全性不能達(dá)到百分之百��。即使再安全的操作系統(tǒng)���,安全問(wèn)題也會(huì)一直存在�,黑客和病毒將會(huì)不斷地對(duì)系統(tǒng)進(jìn)行攻擊,這也是為什么微軟加大安全力度,保護(hù)用戶免受惡意軟件的侵襲��。同時(shí)��,微軟也希望業(yè)界伙伴和其他相關(guān)人士能夠與微軟公司一道,采取負(fù)責(zé)任的步驟和態(tài)度�,共同保護(hù)用戶免受侵襲�。
|
