1月22日,安全专家刘旭在北京演示了所谓的Vista重大安全漏洞,在即将上市的Vista正式版本中,为提高系统安全性,微软引进了UAC(用户帐户控制)新技术,它依靠安全领域普遍遵循的“最小权限”原则,要求所有用户以标准用户模式运行。
| | |
虽然可以使用管理员帐户登陆系统,但只是受控的管理员。除非明确行使管理员权限,否则用户运行程序时,程序所得到的权限只相当一般用户权限,不能对关键的系统设置进行修改,因此,即使恶意程序或病毒入侵,也不会对系统造成太大威胁。UAC就像在系统和恶意程序间建立的隔离保护墙,以提高系统安全性。
但据刘旭称,Vista这套新机制的技术实现时,出现了重大安全隐患,存在可仿冒“访问令牌”的漏洞。利用这个漏洞,当用户以管理(administratoruser)、一般用户(standarduser)甚至权限很低的访客用户(guestuser)登陆系统时,恶意程序可通过伪造的访问令牌替换系统生成的令牌,将用户的权限自动提升为具有绝对控制权的超级管理员(fulladministratoruser)权限,即不论什么类型的用户,是本地登录还是远程登录,都自动成为超级管理员,系统所运行的任何一个程序都自动具有了管理员权限,从而完全绕过了UAC,使UAC形同虚设。这时的Vista就同WindowsXP一样,用户面临了易遭受病毒、黑客攻击的风险。
附:
UAC(User Account Control:用户帐户控制)是微软为提高系统安全而在WindowsVista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止标准用户进行不当的系统设置改变。
|
《变形金刚2》送票! 张元首透露戒毒生活 王岳伦爆李湘胎教 令人惊叹太空步下楼方式
