» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 【新闻】刘旭再次针对VISTA漏洞申明：不争论的事实   作者: 标题: 【新闻】刘旭再次针对VISTA漏洞申明：不争论的事实 wgpdls 注册用户 初级会员 积分 79 发帖 82 注册 2005-11-7 #1  【新闻】刘旭再次针对VISTA漏洞申明：不争论的事实 计世网消息(记者 石头)      事情背景：作日，安全专家刘旭召开新闻发布会表示，微软存在重大漏洞。 请查看：信息安全专家刘旭称发现Vista重大漏洞[http://www.ccw.com.cn/news2/soft ... 070123_237384.shtml] 微软对此问题立即就向各大媒体发表了申明。 请查看：微软：Vista存在安全问题还不能说是漏洞[http://www.ccw.com.cn/news2/soft ... 070123_237385.shtml] 最新动态：刘旭针对微软的申明也随后发表了申明，如下： 一、 我们不愿意混淆视听，问题的焦点不在于是否叫做“漏洞”，而在于是否会对用户造成严重影响。无可否认的事实（演示）证明：22日东方微点的“Vista存在可仿冒用户令牌的重大安全隐患（漏洞）演示”证明，恶意代码可以利用Vista存在的安全隐患（漏洞）伪造访问令牌。而访问令牌是用户和进程权限的唯一凭证，对系统安全性至关重要。一旦这个安全隐患（漏洞）被恶意代码利用，用户的权限被提升，导致所有类型的用户登陆Vista后自动成为“超级管理员”（有着对系统的一切操作权利），使得Vista新的重要安全措施UAC（用户账户控制）完全失效。值得注意的是，互联网上远程登录的所有用户，也将成为超级管理员，危害性更大，并且此后所有登录的用户都成为超级管理员。刘旭在此提出：不争论所谓“漏洞”的定义，也尊重微软对这一安全隐患的定义，但是不愿意纠缠于此，本着对用户负责的态度，重视这一事实存在的严重安全隐患（漏洞），尽快进行弥补措施。另外，东方微点对于是称Vista存在“重大安全隐患”还是“重大安全漏洞”，采取了比较慎重的态度，在上周曾专门邀请一些国内操作系统、信息安全专家进行研讨，专家们认为可以称为重大安全漏洞。 二、对于演示程序存在前提的说明：无论是东方微点向微软官方提交的程序，还是22日的演示，仅是演示程序，与真正的“恶意代码”是不同的。虽然Vista的UAC提高了系统的安全性，但并不是说今后计算机就不会被恶意代码入侵。恶意代码入侵的途径很多。比如说，为了安装某个软件(如文件名为setup.exe)，UAC会自动询问用户是否要以管理员权限运行，用户就必须使用管理员权限，否则无法安装。如果这个安装程序被捆绑了恶意代码，通常用户对此并不知情，Vista对程序采用继承权限的原则，安装程序已经以管理员权限运行，那么被捆绑的恶意代码也将自动以管理员权限运行，而这时UAC不再报警，用户就在完全不知情的情况下，被来自互联网上或本机的恶意代码自动安装到自己的计算机。如果恶意代码利用这个安全隐患(漏洞)，这时，问题已不在于是否存在进入用户计算机系统的途径，而是当它进入计算机后，会导致UAC失效，微软精心设计的UAC就成了摆设。此后，其它病毒、木马就非常容易入侵这台计算机。Vista多数用户是个人用户，因此，随着Vista用户群的增加，我们认为这个安全隐患(漏洞)对普通用户影响是严重的。东方微点不愿意停留在字面，而是看实际后果，刘旭认为，大家讨论并非同一问题。 刘旭本人以及东方微点再一次声明：面对这一问题，应该本着对用户负责的态度，直接面对安全隐患（漏洞）的危害性，刘旭以及东方微点愿意提供有益的建议。 东方微点 刘旭 原帖链接http://www.ccw.com.cn/news2/secure/htm2007/20070123_237463.shtml 本人认为刘旭是正确的。MS太不要脸了，对用户也太不负责了！想轻描淡写的低调处理这个严重问题，真无耻！ 这个漏洞不堵住，我等常在网上下载东东来安装的人且不要深受其害。MS应该对刘旭对微点公司重重的酬谢才能真正显示其大家风范。 ※ ※ ※ 本文纯属【wgpdls】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-24 16:25 soonbest 中级用户 积分 302 发帖 298 注册 2006-11-21 #2   这就是国际大公司的公关手法，微软一向如此，先轻描淡写稳定用户的心，再背地里紧急开发补丁……最后悄悄的修正，一段时间以后，谁也不知道这个曾存在的漏洞了…… ※ ※ ※ 本文纯属【soonbest】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-24 16:40 想念天堂 新手上路 积分 11 发帖 11 注册 2007-1-1 #3   不管微软怎么样，毕竟垄断就是无敌，除非自己毁自己 ※ ※ ※ 本文纯属【想念天堂】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-24 20:18 360SuperKill 新手上路 积分 7 发帖 7 注册 2007-1-23 #4   客观地评判一下: 1.Vista这个的确是个BUG,UAC也比不上HIPS 2.说是漏洞，的确很搞笑，这个不能说是漏洞，利用难度几乎没有，起初利用者基本是害人不利己，呵呵 3.不管是什么，拿来抄作是不好的 ※ ※ ※ 本文纯属【360SuperKill】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-25 01:38 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号