腾讯科技讯 1月23日消息,针对22日下午国内安全专家刘旭曝出微软Vista操作系统存在重大安全漏洞,微软回应称“此事只不过是一场虚惊”。
以下为声明全文:
不争论不掩盖 解决重大安全隐患对用户负责
一、 我们不愿意混淆视听,问题的焦点不在于是否叫做“漏洞”,而在于是否会对用户造成严重影响。
无可否认的事实证明:
22日东方微点的“Vista存在可仿冒用户令牌的重大安全隐患(漏洞)演示”证明,恶意代码可以利用Vista存在的安全隐患(漏洞)伪造访问令牌。而访问令牌是用户和进程权限的唯一凭证,对系统安全性至关重要。
一旦这个安全隐患(漏洞)被恶意代码利用,用户的权限被提升,导致所有类型的用户登陆Vista后自动成为“超级管理员”(有着对系统的一切操作权利),使得Vista新的重要安全措施UAC(用户账户控制)完全失效。值得注意的是,互联网上远程登录的所有用户,也将成为超级管理员,危害性更大,并且此后所有登录的用户都成为超级管理员。
刘旭在此提出:不争论所谓“漏洞”的定义,也尊重微软对这一安全隐患的定义,但是不愿意纠缠于此,本着对用户负责的态度,重视这一事实存在的严重安全隐患(漏洞),尽快进行弥补措施。
另外,东方微点对于是称Vista存在“重大安全隐患”还是“重大安全漏洞”,采取了比较慎重的态度,在上周曾专门邀请一些国内操作系统、信息安全专家进行研讨,专家们认为可以称为重大安全漏洞。
二、对于演示程序存在前提的说明:
无论是东方微点向微软官方提交的程序,还是22日的演示,仅是演示程序,与真正的“恶意代码”是不同的。
虽然Vista的UAC提高了系统的安全性,但并不是说今后计算机就不会被恶意代码入侵。恶意代码入侵的途径很多。比如说,为了安装某个软件(如文件名为setup.exe),UAC会自动询问用户是否要以管理员权限运行,用户就必须使用管理员权限,否则无法安装。如果这个安装程序被捆绑了恶意代码,通常用户对此并不知情,Vista对程序采用继承权限的原则,安装程序已经以管理员权限运行,那么被捆绑的恶意代码也将自动以管理员权限运行,而这时UAC不再报警,用户就在完全不知情的情况下,被来自互联网上或本机的恶意代码自动安装到自己的计算机。
如果恶意代码利用这个安全隐患(漏洞),这时,问题已不在于是否存在进入用户计算机系统的途径,而是当它进入计算机后,会导致UAC失效,微软精心设计的UAC就成了摆设。此后,其它病毒、木马就非常容易入侵这台计算机。Vista多数用户是个人用户,因此,随着Vista用户群的增加,我们认为这个安全隐患(漏洞)对普通用户影响是严重的。
东方微点不愿意停留在字面,而是看实际后果,刘旭认为,大家讨论并非同一问题。
刘旭本人以及东方微点再一次声明:面对这一问题,应该本着对用户负责的态度,直接面对安全隐患(漏洞)的危害性,刘旭以及东方微点愿意提供有益的建议。
东方微点 刘旭
|
|
||||||||||
 |
 |
| 经济危机下的裁员宝典 | “竞价门”让李彦宏老了 |
热门新闻排行
IT新闻
互联网
通信
网评
| 关于腾讯 | About Tencent | 服务条款 | 广告服务 | 腾讯招聘 | 腾讯公益 | 客服中心 | 网站导航 |
Copyright © 1998 - 2009 Tencent. All Rights Reserved  |
| 腾讯公司 版权所有 |
