1月22日,北京東方微點(diǎn)信息技術(shù)有限責(zé)任公司總經(jīng)理兼總工程師劉旭指出,Windows Vista操作系統(tǒng)存在嚴(yán)重的安全隱患。
Windows Vista操作系統(tǒng)是微軟公司歷時(shí)5年,耗資數(shù)十億美元完成的最新操作系統(tǒng),被微軟公司總裁兼首席執(zhí)行官史蒂夫·鮑爾默稱為“絕對(duì)是微軟這么多年技術(shù)創(chuàng)新的巔峰之作”。微軟公司認(rèn)為Vista最顯著特征,第一位就是安全性,并多次強(qiáng)調(diào)了Vista在安全性能上的突破,是Windows XP之后具有“迎接新紀(jì)元”意義的最新操作系統(tǒng)。
據(jù)劉旭介紹,在Windows XP中,用戶登錄系統(tǒng)時(shí),系統(tǒng)為用戶生成一個(gè)訪問(wèn)令牌。當(dāng)用戶需要運(yùn)行程序或訪問(wèn)資源時(shí),系統(tǒng)首先會(huì)從用戶的訪問(wèn)令牌找到用戶的權(quán)限信息,然后與想要進(jìn)行的操作所需的權(quán)限進(jìn)行比較,如果權(quán)限夠大,就可以進(jìn)行相應(yīng)的操作;而如果權(quán)限不足,操作會(huì)被禁止。Windows XP提供創(chuàng)建非管理員帳戶,但用戶使用起來(lái)非常不便,因此,絕大多數(shù)用戶通常采取選擇對(duì)計(jì)算機(jī)有絕對(duì)控制權(quán)的管理員帳戶的做法,這使用戶在使用上非常簡(jiǎn)便,但惡意程序和病毒也隨之能對(duì)系統(tǒng)為所欲為。
為徹底解決Windows XP存在的這種安全隱患,微軟新開(kāi)發(fā)的Windows Vista采用了用戶帳戶控制(UAC)安全新技術(shù)機(jī)制。UAC依照安全領(lǐng)域普遍遵循的“最小權(quán)限”原則,要求所有用戶以標(biāo)準(zhǔn)用戶模式運(yùn)行。雖然用戶還可以使用管理員帳戶登錄系統(tǒng),不過(guò),用戶只獲得受控管理員權(quán)限,當(dāng)用戶運(yùn)行程序時(shí),除非用戶明確將管理員權(quán)限賦予這個(gè)程序,否則程序所得到的權(quán)限只相當(dāng)一般用戶權(quán)限,不能對(duì)關(guān)鍵系統(tǒng)設(shè)置進(jìn)行修改,因此,即使惡意程序或病毒侵入,也不會(huì)對(duì)系統(tǒng)造成太大威脅。UAC就像在系統(tǒng)和惡意程序間建立了一個(gè)隔離保護(hù)墻,從而極大地提高了系統(tǒng)的安全性。
但是,Vista在這套新機(jī)制的技術(shù)實(shí)現(xiàn)時(shí),出現(xiàn)了重大安全隱患,Vista存在可仿冒“訪問(wèn)令牌”的重大安全漏洞。利用這個(gè)漏洞,當(dāng)用戶以管理員(administrator user) 、一般用戶(standard user)甚至權(quán)限很低的訪客用戶(guest user)登陸系統(tǒng)時(shí),惡意程序可通過(guò)偽造的訪問(wèn)令牌替換系統(tǒng)生成的令牌,將用戶的權(quán)限自動(dòng)提升為具有絕對(duì)控制權(quán)的超級(jí)管理員(full administrator user)權(quán)限,即不論什么類型的用戶,是本地登錄還是遠(yuǎn)程登錄,都自動(dòng)成為超級(jí)管理員,系統(tǒng)所運(yùn)行的任何一個(gè)程序都自動(dòng)具有了管理員權(quán)限,從而完全繞過(guò)了UAC,使UAC形同虛設(shè)。這時(shí)的Vista就同Windows XP一樣,用戶面臨了易遭受病毒、黑客攻擊的風(fēng)險(xiǎn)。
Vista重大安全漏洞,是東方微點(diǎn)公司科研人員在開(kāi)發(fā)新一代反病毒產(chǎn)品——微點(diǎn)主動(dòng)防御軟件Vista版本時(shí)發(fā)現(xiàn)的,這是微軟正式發(fā)布Vista后,我國(guó)計(jì)算機(jī)安全領(lǐng)域首次發(fā)現(xiàn)Vista存在重大安全隱患。
