中华网络安全联盟    来源：CNET科技资讯网    时间：2006-12-29 10:12:04

    12月26日国际报道 微软新一代的操作系统Windows Vista 正在遭受初步的安全信任危机，因为计算机安全研究人员以及黑客们已经开始发现，上月交付企业使用的Vista 当中存在潜在的严重安全漏洞。

    在12月15日，一名俄罗斯程序员在网上发帖说发现了Vista 的一个漏洞，此漏洞可以提高Vista 用户的权限。一周后，“硅谷”计算机安全公司表示，他们已经通知微软，此漏洞确实存在，另外，这家公司还向微软报告了5 个其它漏洞，其中包括一个存在于IE7 浏览器底层代码中的严重错误。

    加州Determina 公司的官员认为，浏览器漏洞尤其令人棘手，因为网络用户有可能在访问存在陷阱的网站时感染到恶意软件病毒。攻击者由此可以将流氓软件注入Vista 电脑当中。

    Determina 等公司专门专注于软件的技术细节，以及操作系统的漏洞。一旦这些公司发现微软产品中的漏洞，他们就会向微软报告。

    而后微软会公布相关的补丁。微软已经可以让用户的电脑通过互联网自动升级这些补丁。

    尽管微软声称Vista 的可靠性大大提高，但很多行业专家却对此持观望态度。微软上一个操作系统Windows XP经历了两个服务包版本才最终提高了系统的安全性，虽然如此，研究人员还是不断的发现Windows XP中存在的新漏洞。

    上周五，微软一名官员在其安全信息网站上表示，微软正在“密切监视”俄罗斯网站上描述的漏洞。这一漏洞据说可以提高Vista 及其它Windows 版本中标准用户的权限，从而让其控制电脑的全部的操作。在Unix以及比较新的Windows 系统当中，用户是分等级的，要完全控制电脑，用户需要获得管理员权限。

    微软安全响应中心的业务经理Mike Reavey 说：“目前，我们尚未发现利用这一漏洞的攻击活动出现。我知道这一漏洞会影响Windows Vista ，但我仍然相信，Vista 是迄今为止最安全的平台。”

    星期六，微软的发言人Nicole Miller 表示，微软也正在调查报告上来的浏览器漏洞问题，他说，尚未相关的攻击活动发生。

    为了宣传Vista 是最安全的操作系统，微软已经耗资数百万美元，微软希望依靠Vista 来扭转攻击Windows 电脑的恶潮。

    Vista 对微软的声誉至关重要。尽管微软开发Vista 耗时几乎达到了四年半，同时也动用了安全行业的最大心力，但来自有害电脑软件的威胁仍然在与日俱增。目前，计算机犯罪攻击各式各样，从窃取家用及企业电脑信息的软件到不断增长的僵尸电脑攻击商业互联网都有。

    尽管明年1 月才上市的Vista 获得了广泛的测试，但它仍然要面临开放的互联网环境的挑战。

    Determina 公司的一名副总裁Nand Mulchandani说：“我认为，用户不应该对Vista 感到放心。当软件厂商表示，它完全重写了程序代码，这并不意味着它比前代程序更安全。我预计，6 个月或者1 年以后，我们将见到很多的Vista 臭虫出现。”

    Mulchandani 认为，发现的IE7 漏洞可以用来窃取密码，或者用来攻击其它电脑。

    然而，IE7 当中具有一个先进的安全功能，这就是“沙盒”（sandbox ）功能，即使恶意程序有能力破坏浏览器的运行，它还是可以将损害限制在一定的范围内。这一功能能够阻止黑客侵入Vista 操作系统的其它部分或者避免重写文件。

    但是，Determina 公司的一名安全研究员Alexander Sotirov 表示，如果用户的权限升级，那么黑客完全可以绕开“沙盒”。如果这样，电脑文件就会被改写，系统也会永久的受到损害。他表示，这种攻击已经被证明是可行的。

    Sotirov 说，他们已经通知了微软其它四个漏洞的存在，其中包括一个仅仅发送一段恶意邮件即可反复使Microsoft Exchange邮件服务器程序瘫痪的漏洞。

    上周，Trend Micro 公司的首席信息官表示，他已经发现，一个地下秘密计算机论坛上已经出现了叫卖Windows Vista 安全漏洞的帖子，一个售价5 万美元。周末，Trend Micro 公司的一名发言人说，公司尚未获得这种信息，同时也不确定其消息的权威性。

    很多计算机安全公司表示，此类的地下市场相当的活跃，这可以让攻击者更容易通过互联网侵入Vista 系统。