據悉,昨天微軟對知名信息安全專家自稱發現的“Vista重大漏洞”作出了回應,稱 “這個問題不是一個操作系統的漏洞。”因此,微軟稱Vista又越過了它在發布前的一次風險。微軟中國相關負責人稱,業界對系統漏洞的普遍理解是,如果在普通用戶權限下能夠安裝軟件來篡改系統,使得普通用戶獲得系統管理員的權限,將說明存在系統漏洞,“而演示并沒有表明可以這樣,因此 這個問題不是一個操作系統的漏洞。”
據了解,國內知名信息安全專家劉旭,昨天公布了自稱發現的“Vista重大漏洞”,而Vista重大漏洞主要是微軟在Vista中引進的UAC(用戶賬戶控制)新技術,出現了重大安全隱患,存在可仿冒“訪問令牌”的漏洞。利用該漏洞,當用戶以管理、一般用戶登錄系統時,惡意程序可通過偽造的訪問令牌替換系統生成的令牌,將用戶的權限自動提升為具有絕對控制權的超級管理員權限,從而完全繞過了UAC,使UAC形同虛設。這時的Vista就同Windows XP一樣,用戶面臨了易遭受病毒、黑客攻擊的風險。
而微軟稱,這個問題不是一個操作系統的漏洞,對專家自稱發現的“Vista重大漏洞”,微軟已與相關公司進行了溝通。并表示“首先,該問題需要用戶可以物理接觸到安裝vista系統的機器,并以系統管理員的身份本地登錄,還要安裝一個惡意軟件來篡改Vista系統,這樣當使用者以普通用戶身份登錄后,可以擁有系統管理員的權限。”
(第三媒體 2007-01-23)