安全专家称Vista存在安全隐患

　　新浪科技讯 1月22日，国内知名信息安全专家刘旭今天下午宣布发现Vista存在可伪造用户令牌(Access Token)的安全隐患，他称，用户利用该漏洞，可以自动成为超级管理员，从而绕过了UAC(用户帐号控制)。

　　据介绍，在Windows中用户在登陆系统时，系统为用户生成一个访问令牌，令牌包含了用户的权限信息。Windows XP提供创建非管理员帐户，但用户使用起来不方便。多数用户习惯使用具有绝对控制权的管理员帐户，这给恶意程序与病毒的入侵留下了缝隙。

　　为提高系统安全性，微软在其新一代操作系统Vista中引入UAC新技术，它就像在系统与恶意程序之间建立了一个隔离，从而提高系统安全性。

　　不过刘旭发现，Vista在这套新机制的技术实现时，出现了安全隐患。他通过演示指出，Vista存在可仿冒“访问令牌”的安全漏洞。利用该漏洞，恶意程序可通过伪造的访问令牌替换系统生成的令牌，所有用户可自动成为超级管理员，从而绕过了UAC。

　　据刘旭称，该漏洞主要带来两方面危害：一是新采取的安全措施UAC失效；二是导致一般用户包括远程登陆的用户，直接获得超级管理员权限。东方微点公司方面透露，1月12日，他们曾就该安全隐患与微软进行过沟通。

　　1月19日，刘旭所在的公司东方微点已经放出消息称要于今天下午就Vista“安全隐患”召开媒体沟通会。当时微软曾对新浪科技表示，“Vista已经在安全方面做出了突出改进，但是即使再安全的操作系统，黑客和病毒也会不断地对系统进行攻击，安全问题也会一直存在。”

　　当时微软并不知道刘旭今天所要向媒体发布的信息的具体内容。

　　对于刘旭今天所演示的情况，截至发稿微软尚未给出的最新说法。新浪科技将对此事保持密切关注。(马城)   

　　相关报道：

　　微软否认Vista系统存在安全隐患

　　国内安全专家称发现Vista安全隐患

　　微软回应Vista漏洞事件