安全专家称vista存有安全漏洞 微软正面回复

　　PConline北京1月23日[文/操刚]“微软的Vista讲求的就是要把安全性能做到最好，但一旦我们公布的这个漏洞被攻破的话，他们最新的UAC技术将形同虚设，那么vista就跟目前的XP系统没有什么区别了，这种后果是十分严重的。”

　　1月22日下午，业界知名安全专家刘旭正式向媒体通报微软Vista操作系统存在可伪造用户令牌的安全漏洞，通过该漏洞，病毒可任意获取电脑最高管理权并可对电脑进行任何操控。

　　据悉，UAC(User Account Control : 用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术，它要求所有用户在标准账号模式下运行程序和任务，阻止未认证的程序安装，并阻止标准用户进行不当的系统设置改变。

　　不过刘旭表示，Vista在这套新机制的技术实现时，出现了重大安全隐患。刘旭通过演示指出，Vista存在可仿冒“访问令牌”的重大安全漏洞。利用这个漏洞，当用户以管理（administrator user） 、一般用户（standard user）甚至权限很低的访客用户（guest user）登陆系统时，恶意程序可通过伪造的访问令牌替换系统生成的令牌，将用户的权限自动提升为具有绝对控制权的超级管理员(full administrator user)权限，即不论什么类型的用户，是本地登录还是远程登录，都自动成为超级管理员，系统所运行的任何一个程序都自动具有了管理员权限，从而完全绕过了UAC，使UAC形同虚设。这时的Vista就同Windows XP一样，用户面临了易遭受病毒、黑客攻击的风险。

　　同时，刘旭也同时表示了UAC在针对普及用户时表现的三个不尽如人意的地方，首先，普通用户在开启了UAC时，一般的操作都会出现不停的询问对话框，给用户造成了不方便；其次，对于UAC的询问报警，部分用户很难做到准确无误的判断，这其中难免会碰到一些恶意软件的蒙骗过关；最后，vista的上市可能会导致捆绑型木马病毒的增多。

　　据刘旭透露，此次作为演示的vista版本即是微软即将上市的RTM版本。

　　微软正面回应：产品需完善否认存有漏洞。

　　就在刘旭刚刚通报完vista漏洞事件之后，PConline新闻组便收到了微软官方的正面回复信件。信件表示，微软于本月12日就收到了来自东方微点公司（刘旭的职位为总经理）的电子邮件，并随即通过电子邮件进行了沟通。按照彼此的沟通, 该问题需要用户可以物理接触到安装vista系统的机器, 并以系统管理员的身份本地登陆，安装一个恶意软件来篡改Vista系统，这样当使用者以普通用户身份登陆后，他/她可以拥有系统管理员的权限。业界对系统漏洞的普遍理解是, 如果在普通用户权限下能够安装软件来篡改系统使得普通用户获得系统管理员的权限，将说明存在系统漏洞，而演示并没有表明可以这样，并且在和该公司的所有沟通过程也没有表明可以从远程来对系统进行攻击, 因此综上所述, 这个问题不是一个操作系统的漏洞。

　　微软方面同时表示，在Windows Vista的开发过程中，安全被提到了一个前所未有的重视高度。但是软件产品的特点决定了软件产品的安全性不能达到百分之百。即使再安全的操作系统，安全问题也会一直存在，黑客和病毒将会不断地对系统进行攻击，这也是为什么微软加大安全力度，保护用户免受恶意软件的侵袭。同时，微软也希望业界伙伴和其他相关人士能够与微软公司一道，采取负责任的步骤和态度，共同保护用户免受侵袭。