Vista否认存在重大漏洞 软件不能100%安全

　　计世网消息 (本报记者 毛江华 )1月22日，微软最新的操作系统Windows Vista是否存在重大安全漏洞问题在业界引发了争议。微软安全专家在接受本报质询时表示Windows Vista不存在系统安全漏洞。另外一名第三方知名的安全专家接受本报记者采访时表示任何软件不能保证百分之一百安全。

　　事情源起于北京东方微点公司总经理兼总工程师刘旭上周在北京召集媒体通报说，东方微点的安全专家在中国首次发现微软开发的Windows Vista操作系统存在重大安全漏洞，利用这一漏洞，恶意程序可以很方便地控制用户的计算机。东方微点已将Windows Vista这一重大安全漏洞通报给了微软公司。

　　但微软安全专家向本报记者表示，就1月12日后微软与东方微点的沟通情况来看,刘旭所言并不能表明Windows Vista存在系统安全漏洞。

　　根据刘旭的声明，尽管Windows Vista采用的用户账户控制(UAC)安全新机制使其系统安全性有了很大的提高，但在实现这套新机制的技术时，依然存在可仿冒“访问令牌”的重大安全漏洞。利用这个漏洞，当操作者以管理员、一般用户甚至权限更低的访客用户登录系统时，恶意程序可以通过伪造的访问令牌，将操作者的权限自动提升为具有绝对控制权的超级管理员权限，从而完全绕过了UAC。

　　微软解释说，刘旭所说的安全问题, 需要用户可以物理接触到安装vista系统的机器, 并以系统管理员的身份本地登陆，安装一个恶意软件来篡改Vista系统,再以普通用户身份登陆后,才可以拥有系统管理员的权限。而按业界对系统漏洞的普遍理解是: 如果在普通用户权限下能够安装软件来篡改系统,使得普通用户获得系统管理员的权限，才能表明明存在系统漏洞。而且，微软在与该公司的所有沟通过程中，也没有表明可以从远程对Windows Vista系统进行攻击。因此，这个问题不是一个

　　另外一位知名的第三方安全专家认为，由人设计和编写的软件产品的特点，决定了软件产品一定存在这样或者那样的疏漏，安全性不可能达到百分之百。即使象Windows Vist这样历时5年，耗资数十亿美元的号称以“安全”性为主要目标的软件操作系统，在设计和开发的过程中，采用了全面改进安全的方法，也无法避免安全问题，“道高一尺，魔高一丈”，黑客和