什么叫漏洞?什么叫安全漏洞?某些专家真丑……

  CCTV.com消息(新闻30分):几经推迟发布的Windows Vista操作系统,终于定在将于这个月底发布,而近日我国计算机信息安全专家却声称,发现了Vista系统的严重安全隐患。

  微软公司多次强调了Vista系统在安全性上的突破,认为Vista最显著特征就是安全性。然而,通过演示,我国专家指出Vista存在可仿冒访问令牌的重大安全漏洞,也就是可以仿冒用户进入系统。

  计算机信息专家 刘旭:与Windows XP相比,Vista这次最主要的安全措施是一个叫UAC的新技术,如果恶意程序利用这个漏洞的话,会使对Vista系统至关重要的UAC失效。这样就令Vista的安全性回到了XP。

  为此,记者电话采访了微软公司的战略安全顾问裔云天

  微软(中国)战略安全顾问 裔云天:我们认为这不是一个重大的安全隐患,对于这个漏洞我们在美国也在对此进行调查当中,我们会与刘先生方面保持沟通。

  随后微软相关工作人员告诉记者,这一事件不会影响1月30日Windows Vista的正式发布。

——————————————————————————————————————————————

    “完全没有想到现场会是这样的状况。”1月22日下午,一位业界人士在参加安全专家刘旭举行的vista存在重大隐患的通报会后如是说,“专家所称的Vista漏洞,我表示怀疑。”
  事实上,在22日下午举行的Vista存在重大隐患的“通报会”上,安全专家刘旭受到了来自数十位业界人士的反复提问和质疑,会场一度出现混乱局面。
  在看完Vista存在重大隐患演示后,众多人士和刘旭进行了反复的讨论。
  安全专家刘旭称,微软即将发布的下一代操作系统Windows Vista存在恶意程序可伪造用户令牌的重大安全隐患。刘旭详细解释和演示了“Vista的重大隐患”过程。
  据其介绍,在Windows XP中,用户在登录系统时,系统为用户生成一个访问令牌。当用户需要运行程序或访问资源时,系统首先会从用户的访问令牌找到用户的权限信息,然后和想要进行的操作所需要具有的权限进行比较,如果权限足够大,就可以进行相应的操作;而如果权限不足,操作会被禁止。Windows XP提供创建非管理员账户,但是用户使用起来非常不方便,因此,绝大多数用户日常使用的是对计算机有绝对控制权的管理员账户。这样固然省事、方便,但是,恶意程序和病毒也可以对系统为所欲为。
  刘旭称,为提高系统安全性,微软在Windows Vista中引进UAC(用户账户控制)新技术,它依照安全领域普遍遵循的“最小权限”原则,要求所有用户以标准用户模式运行,虽然我们还可以使用管理员账户登录系统,不过,这只是受控的管理员。除非明确行使管理员权限,否则用户运行程序时,程序所得到的权限只相当一般用户权限,不能对关键的系统设置进行修改,因此,即使恶意程序或病毒侵入,也不会对系统造成太大威胁。UAC就像在系统和恶意程序间建立了一个隔离保护墙,从而极大地提高了系统的安全性。
  刘旭在演示过程中指出,Vista存在可仿冒“访问令牌”的重大安全漏洞。利用这个漏洞,当用户以管理(administrator user) 、一般用户(standard user)甚至权限很低的访客用户(guest user)登陆系统时,恶意程序可通过伪造的访问令牌替换系统生成的令牌,将用户的权限自动提升为具有绝对控制权的超级管理员(full administrator user)权限,即不论什么类型的用户,是本地登录还是远程登录,都自动成为超级管理员,系统所运行的任何一个程序都自动具有了管理员权限,从而完全绕过了UAC,使UAC形同虚设。这时的Vista就同Windows XP一样,用户面临了易遭受病毒、黑客攻击的风险。
  经过刘旭一个小时的解释和演示,在场的数位专家和业界人士均提出了质疑。主要围绕对于其演示的是否属于“Vista漏洞”和其“漏洞说”的动机。对此,刘旭称,发表这样的看法有两个原因。“作为安全专家和企业,有责任共同完善Vista系统,这也是对用户负责的一种态度。另一方面,我们想证明我们不比国外的技术差,我们有能力发现微软的漏洞。”
  一位业界人士表示:“从目前微软的反应来看,微软不会认为这是漏洞,同时也不会更改Vista的上市期限。”据国外媒体报道,微软日前表示,新一代操作系统WindowsVista个人版将于本月30日上市。
  微软中国在接受搜狐IT咨询时表示:“我们已经知晓了他提供的所谓Vista漏洞的信件,但其实那不是漏洞,只是一个权限的问题,我们正在积极的和刘旭进行沟通和交流。”

关于UAC:

  UAC(User Account Control : 用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止标准用户进行不当的系统设置改变。

——————————————————————————————————————————

  这是一条上了央视的重大“安全性”新闻。什么是安全漏洞或隐患?我们一般打的系统补丁通常是:防止拒绝服务、远程运行代码、内存溢出后可运行任何代码等等。比如,PSP 上的降低漏洞就是溢出后可运行任意代码的安全问题。

  UAC 又是什么?防止你乱修改设置的东西啊。这么说吧,就算是 Windows Vista 禁用 UAC 服务,不就是可以改时区方便了么?它是为了防止一些东西的修改设置问题的,和上面什么漏洞,什么泄漏信息的安全有关系么?可笑,最可笑的是央视。采访完了就去放。Windows Vista 在中国在 2006 年 11 月 30 日就已经发布了,1 月 31 日只是正式发售而已……发布两次干什么?