事情背景:昨日,安全专家刘旭召开新闻发布会表示,微软存在重大漏洞。 请查看:信息安全专家刘旭称发现Vista重大漏洞
微软对此问题立即就向各大媒体发表了申明。
请查看:微软:Vista存在安全问题还不能说是漏洞
最新动态:刘旭针对微软的申明也随后发表了申明,如下:
一、
我们不愿意混淆视听,问题的焦点不在于是否叫做“漏洞”,而在于是否会对用户造成严重影响。无可否认的事实(演示)证明:22日东方微点的“Vista存在可仿冒用户令牌的重大安全隐患(漏洞)演示”证明,恶意代码可以利用Vista存在的安全隐患(漏洞)伪造访问令牌。而访问令牌是用户和进程权限的唯一凭证,对系统安全性至关重要。一旦这个安全隐患(漏洞)被恶意代码利用,用户的权限被提升,导致所有类型的用户登陆Vista后自动成为“超级管理员”(有着对系统的一切操作权利),使得Vista新的重要安全措施UAC(用户账户控制)完全失效。值得注意的是,互联网上远程登录的所有用户,也将成为超级管理员,危害性更大,并且此后所有登录的用户都成为超级管理员。刘旭在此提出:不争论所谓“漏洞”的定义,也尊重微软对这一安全隐患的定义,但是不愿意纠缠于此,本着对用户负责的态度,重视这一事实存在的严重安全隐患(漏洞),尽快进行弥补措施。另外,东方微点对于是称Vista存在“重大安全隐患”还是“重大安全漏洞”,采取了比较慎重的态度,在上周曾专门邀请一些国内操作系统、信息安全专家进行研讨,专家们认为可以称为重大安全漏洞。
二、对于演示程序存在前提的说明:无论是东方微点向微软官方提交的程序,还是22日的演示,仅是演示程序,与真正的“恶意代码”是不同的。虽然Vista的UAC提高了系统的安全性,但并不是说今后计算机就不会被恶意代码入侵。恶意代码入侵的途径很多。比如说,为了安装某个软件(如文件名为setup.exe),UAC会自动询问用户是否要以管理员权限运行,用户就必须使用管理员权限,否则无法安装。如果这个安装程序被捆绑了恶意代码,通常用户对此并不知情,Vista对程序采用继承权限的原则,安装程序已经以管理员权限运行,那么被捆绑的恶意代码也将自动以管理员权限运行,而这时UAC不再报警,用户就在完全不知情的情况下,被来自互联网上或本机的恶意代码自动安装到自己的计算机。如果恶意代码利用这个安全隐患(漏洞),这时,问题已不在于是否存在进入用户计算机系统的途径,而是当它进入计算机后,会导致UAC失效,微软精心设计的UAC就成了摆设。此后,其它病毒、木马就非常容易入侵这台计算机。Vista多数用户是个人用户,因此,随着Vista用户群的增加,我们认为这个安全隐患(漏洞)对普通用户影响是严重的。东方微点不愿意停留在字面,而是看实际后果,刘旭认为,大家讨论并非同一问题。
刘旭本人以及东方微点再一次声明:面对这一问题,应该本着对用户负责的态度,直接面对安全隐患(漏洞)的危害性,刘旭以及东方微点愿意提供有益的建议。
东方微点 刘旭
(参考链接: http://tech.sina.com.cn/roll/2007-01-23/1745227036.shtml)
|