搜狐网站
搜狐 ChinaRen 17173 焦点房地产 搜狗
搜狐数码-搜狐网站
搜狐数码频道 > 软件·安全·信息化 > 病毒与安全 > 业界·产品

刘旭声明:问题的焦点不在于是否叫做“漏洞”

  【搜狐IT消息】1月23日,安全专家刘旭给搜狐IT发来声明,回应业界对Vista漏洞说的质疑。以下为声明全文:

    刘旭声明:

  不争论不掩盖 解决重大安全隐患对用户负责

  一、

  我们不愿意混淆视听,问题的焦点不在于是否叫做“漏洞”,而在于是否会对用户造成严重影响。

  无可否认的事实(演示)证明:

  22日东方微点的“Vista存在可仿冒用户令牌的重大安全隐患(漏洞)演示”证明,恶意代码可以利用Vista存在的安全隐患(漏洞)伪造访问令牌。而访问令牌是用户和进程权限的唯一凭证,对系统安全性至关重要。

  一旦这个安全隐患(漏洞)被恶意代码利用,用户的权限被提升,导致所有类型的用户登陆Vista后自动成为“超级管理员”(有着对系统的一切操作权利),使得Vista新的重要安全措施UAC(用户账户控制)完全失效。值得注意的是,互联网上远程登录的所有用户,也将成为超级管理员,危害性更大,并且此后所有登录的用户都成为超级管理员。

  刘旭在此提出:不争论所谓“漏洞”的定义,也尊重微软对这一安全隐患的定义,但是不愿意纠缠于此,本着对用户负责的态度,重视这一事实存在的严重安全隐患(漏洞),尽快进行弥补措施。

  另外,东方微点对于是称Vista存在“重大安全隐患”还是“重大安全漏洞”,采取了比较慎重的态度,在上周曾专门邀请一些国内操作系统、信息安全专家进行研讨,专家们认为可以称为重大安全漏洞。

  二、

  对于演示程序存在前提的说明:

  无论是东方微点向微软官方提交的程序,还是22日的演示,仅是演示程序,与真正的“恶意代码”是不同的。

  虽然Vista的UAC提高了系统的安全性,但并不是说今后计算机就不会被恶意代码入侵。恶意代码入侵的途径很多。比如说,为了安装某个软件(如文件名为setup.exe),UAC会自动询问用户是否要以管理员权限运行,用户就必须使用管理员权限,否则无法安装。如果这个安装程序被捆绑了恶意代码,通常用户对此并不知情,Vista对程序采用继承权限的原则,安装程序已经以管理员权限运行,那么被捆绑的恶意代码也将自动以管理员权限运行,而这时UAC不再报警,用户就在完全不知情的情况下,被来自互联网上或本机的恶意代码自动安装到自己的计算机。

  如果恶意代码利用这个安全隐患(漏洞),这时,问题已不在于是否存在进入用户计算机系统的途径,而是当它进入计算机后,会导致UAC失效,微软精心设计的UAC就成了摆设。此后,其它病毒、木马就非常容易入侵这台计算机。Vista多数用户是个人用户,因此,随着Vista用户群的增加,我们认为这个安全隐患(漏洞)对普通用户影响是严重的。

  东方微点不愿意停留在字面,而是看实际后果,刘旭认为,大家讨论并非同一问题。

  刘旭本人以及东方微点再一次声明:面对这一问题,应该本着对用户负责的态度,直接面对安全隐患(漏洞)的危害性,刘旭以及东方微点愿意提供有益的建议。

  东方微点 刘旭

(责任编辑:韩建光)

用户:  匿名  隐藏地址  设为辩论话题

我要发布Sogou推广服务

新闻 网页 博客 音乐 图片 说吧  
央视质疑29岁市长 邓玉娇失踪 朝鲜军事演习 日本兵赎罪
石首网站被黑 篡改温总讲话 夏日减肥秘方 日本瘦脸法
宋美龄牛奶洗澡 中共卧底结局 慈禧不快乐 侵略中国报告



说 吧更多>>

相 关 说 吧

刘旭

说 吧 排 行

茶 余 饭 后更多>>