1月22日,安全专家刘旭在北京演示了“所谓”的Vista重大安全漏洞,在Vista引进的UAC(用户帐户控制)新技术中,刘旭称,Vista这套新机制的技术实现时,出现了重大安全隐患,存在可仿冒“访问令牌”的漏洞。
按照刘旭的说法,利用这个漏洞,当用户以管理(administrator user) 、一般用户(standard user)甚至权限很低的访客用户(guest user)登陆系统时,恶意程序可通过伪造的访问令牌替换系统生成的令牌,将用户的权限自动提升为具有绝对控制权的超级管理员(full administrator user)权限,即不论什么类型的用户,是本地登录还是远程登录,都自动成为超级管理员,系统所运行的任何一个程序都自动具有了管理员权限,从而完全绕过了UAC,使UAC形同虚设。
不过,微软中国就很快对此发表了不同看法,在微软看来,该问题需要用户可以物理接触到安装vista系统的机器,并以系统管理员的身份本地登陆,安装一个恶意软件来篡改Vista系统,这样当使用者以普通用户身份登陆后,他/她可以拥有系统管理员的权限。
“我们于2007年1月12日收到了来自东方微点公司的电子邮件,并随即通过电子邮件进行了沟通。”微软表示:“业界对系统漏洞的普遍理解是,如果在普通用户权限下能够安装软件来篡改系统使得普通用户获得系统管理员的权限,将说明存在系统漏洞,而演示并没有表明可以这样,并且在和该公司的所有沟通过程也没有表明可以从远程来对系统进行攻击,因此综上所述,这个问题不是一个操作系统的漏洞。”(详见附件)
而在刘旭召开的演示会上,也的确证明与微软有过沟通,并称在研制其产品微点主动防御软件Vista版的过程中,发现这一安全隐患。“东方微点已有相应的解决方案,但该问题由微软来解决更适宜。”在刘旭的言语中,有意无意暗示了希望与微软合作的意愿。
而自从刘旭称发现Vista有重大隐患起,就有人质疑这是东方微点精心安排的一次炒作,东方微点研发的主动防御产品一直饱受争议,并遭遇封杀,产品很长时间以来迟迟无法上市,面临夭折的绝境。而该公司遭受警方调查的历史,使东方微点更加扑朔迷离。刘旭本人曾多次向外界袒露“心声”,阐述主动防御类安全产品的重要性。
附微软针对Vista漏洞事件的回应:
我们于2007年1月12日收到了来自东方微点公司的电子邮件,并随即通过电子邮件进行了沟通。按照彼此的沟通, 该问题需要用户可以物理接触到安装vista系统的机器, 并以系统管理员的身份本地登陆,安装一个恶意软件来篡改Vista系统,这样当使用者以普通用户身份登陆后,他/她可以拥有系统管理员的权限。业界对系统漏洞的普遍理解是, 如果在普通用户权限下能够安装软件来篡改系统使得普通用户获得系统管理员的权限,将说明存在系统漏洞,而演示并没有表明可以这样,并且在和该公司的所有沟通过程也没有表明可以从远程来对系统进行攻击, 因此综上所述, 这个问题不是一个操作系统的漏洞。
作为下一代操作系统,Windows Vista实现了技术与应用的创新,在安全可靠、简单清晰、互联互通,以及多媒体方面体现出了全新的构想。其中最为突出的一点就是Windows Vista在安全方面的改进。在Windows Vista设计和开发的过程中,微软采用了全面改进安全的方法,使其成为微软实现其打造“可信赖计算”理念的一个重要里程碑。用户可以更好、更容易的保护个人电脑,免受病毒、蠕虫或间谍软件的攻击, 通过Windows Vista享受到更加完备、更加安全的上网体验。
在Windows Vista的开发过程中,安全被提到了一个前所未有的重视高度。但是软件产品的特点决定了软件产品的安全性不能达到百分之百。即使再安全的操作系统,安全问题也会一直存在,黑客和病毒将会不断地对系统进行攻击,这也是为什么微软加大安全力度,保护用户免受恶意软件的侵袭。同时,微软也希望业界伙伴和其他相关人士能够与微软公司一道,采取负责任的步骤和态度,共同保护用户免受侵袭。
作为微软在中国的独资子公司,微软中国将一如既往地与国内业界合作伙伴一起,为中国用户提供更加安全的计算环境而进行持续的努力。
|
(责任编辑:韩建光)
|