Vista中惊现多个缺陷 微软遭遇信任危机

　　计世网消息 随着计算机安全研究人员和黑客开始在上个月发布的面向企业用户的Windows Vista操作系统中发现严重缺陷，微软在Windows Vista操作系统质量方面遭遇了信任危机。

　　12月15日，一名俄罗斯程序员公布了一个缺陷，利用该缺陷，黑客能够在包括Vista在内的微软所有“最近的”操作系统上提升其访问权限；上周末，硅谷一家计算机安全厂商声

称，它已经向微软通报了该缺陷，以及另外其它5个缺陷，其中包括IE 7中的一处严重缺陷。

　　该IE浏览器缺陷尤其危险，因为它意味着只要访问一个陷阱站点，用户的计算机就会感染恶意软件。据安全厂商Determina的官员称，这使得黑客可能在运行Vista的计算机中“注入”恶意软件。

　　尽管微软声称Vista的可靠性已经得到了大幅度提高，许多业界人士仍然采取了观望态度。Windows XP通过二款“服务包”大幅度改进了安全性，但新的缺陷仍然“层出不穷”。

　　上周五，微软的一名官员在公司的安全信息网站上发布公告称，微软正在“密切监测”俄罗斯程序员公布的那个缺陷。它使Vista和其它版本Windows中标准用户帐户的权限能够得到提升，使之能够控制计算机的所有操作。在Unix和“现代的”Windows中，用户能够完成的功能都会受到限制，只有系统管理员帐户才能够获得系统的完整控制权。微软安全响应中心的运营经理迈克说，目前，我们还没有发现与该缺陷相关的攻击活动。尽管我承认该缺陷影响Windows

　　Vista，但仍然坚信Windows Vista是我们有史以来最安全的

　　在上周五发布的安全公告中，Secunia对该缺陷的评级是“不大危急”。上周六，微软的一名女发言人米勒说，微软还在对浏览器缺陷进行调查，还不知道有利用该缺陷的攻击出现。

　　微软还花费数以百万美元计的资金，宣传“Vista是其有史以来最安全的操作系统”，它希望靠Vista一改Windows计算机遭受大量攻击的尴尬。Vista对微软的声誉至关紧要。尽管微软在4年多前就大力强调软件代码的安全性，计算机安全产业也为此进行了多方努力，由恶意软件造成的威胁却在不断增长。

　　尽管Vista得到了广泛测试，它现在面临着开放的互联网的挑战。Determina的副总裁南德说，我认为人们不能自满。厂商声称一种软件被完全重写时，并不意味着它更安全了。我预计，在未来6个月或1年内，我们将会发现许多Vista缺陷。

　　Determina官员表示，IE浏览器中的这个缺陷可能会造成机密信息被窃取或对其它计算机发动攻击的危害。但是，IE7在安全方面的一个主要进展是，一个软件“沙盒”能够限制恶意软件造成的损害，这一功能应当能够限制攻击者攻击Vista操作系统的其它部分或重写文件的能力。Determina的一名安全研究人员亚历山大说，但当与能够提升用户权限的缺陷结合使用时，IE

　　7浏览器缺陷就使黑客能够绕过“沙盒”。在这种情况下，黑客能够修改计算机上的文件，并在计算机中“注入”恶意代码。但他承认，这种类型的攻击还没有得到证明。

　　Determina的研究人员表示，他们还没有向微软通报其它4个缺陷，其中包括一个使黑客通过发送恶意电子邮件就能够反复关闭Microsoft

　　Exchange电子邮件服务器的缺陷。

　　上周，安全厂商趋势的技术总监向数家IT新闻网站报料称，有人以5万美元的价格出售有关Windows Vista中安全缺陷的信息。趋势的一名发言人上周末说，趋势还没有获得这些信息，无法就这些信息的真实性发表评论。许多计算机安全厂商称，存在一个活跃的计算机安全信息地下交易市场。(刘彦青编译)