網(wǎng)易科技訊 1月22日下午，安全專家劉旭正式向媒體通報其所發(fā)現(xiàn)的，微軟Vista操作系統(tǒng)存在可偽造用戶令牌的安全漏洞，通過該漏洞，病毒可任意獲取電腦最高管理權(quán)。微軟認為劉旭的發(fā)現(xiàn)最多只能說是Vista存在一些不完善的地方，但并不是漏洞。

劉旭稱是病毒可獲得電腦最高權(quán)限

劉旭認為這是一個重大的安全隱患，微軟已經(jīng)給PC廠商即將預裝的RTM版本Vista操作系統(tǒng)上。據(jù)悉，第一批安裝該軟件的電腦將在本月底銷售，微軟目前尚未針對該漏洞給出補丁文件。

據(jù)劉旭介紹，惡意程序通過該漏洞可以將任何一個用戶的權(quán)限，提升成為超級管理員，擁有該電腦系統(tǒng)的全部控制權(quán)。

利用該漏洞，不論是什么類型的用戶，不論本地登錄還是遠程登錄，系統(tǒng)所運行的任何一個程序都自動具有了管理員的權(quán)限，從而完全繞過了用戶賬戶控制（UAC），病毒、木馬、流氓軟件和黑客，可以在電腦上隨意肆虐。

微軟認為只是不完善，但不是漏洞

微軟相關(guān)人士透露，在2007年1月12日確實收到了來自東方微點公司的電子郵件，并隨即通過電子郵件進行了溝通。

該人士表示，按照彼此的溝通，該問題需要用戶可以物理接觸到安裝vista系統(tǒng)的機器, 并以系統(tǒng)管理員的身份本地登陸，安裝一個惡意軟件來篡改Vista系統(tǒng)，這樣當使用者以普通用戶身份登陸后，他/她可以擁有系統(tǒng)管理員的權(quán)限。

微軟此前曾向網(wǎng)易科技表示，任何軟件都可能存在或多或少的問題，世界上并沒有百分之百安全的軟件。微軟相關(guān)人士稱，“普通用戶并不會涉及到這樣的操作，該問題也不可以進行遠程操作進行”。

不過，微軟認為此次劉旭發(fā)現(xiàn)的問題，并不是操作系統(tǒng)的漏洞。微軟方面表示：業(yè)界對系統(tǒng)漏洞的普遍理解是：如果在普通用戶權(quán)限下能夠安裝軟件來篡改系統(tǒng)使得普通用戶獲得系統(tǒng)管理員的權(quán)限，將說明存在系統(tǒng)漏洞，而演示并沒有表明可以這樣，并且在和該公司的所有溝通過程也沒有表明可以從遠程來對系統(tǒng)進行攻擊, 因此綜上所述, 這個問題不是一個操作系統(tǒng)的漏洞。

“沒有百分之百安全的軟件”

微軟相關(guān)人士稱，在Windows Vista的開發(fā)過程中，安全被提到了一個前所未有的重視高度。但是軟件產(chǎn)品的特點決定了軟件產(chǎn)品的安全性不能達到百分之百。“即使再安全的操作系統(tǒng)，安全問題也會一直存在，黑客和病毒將會不斷地對系統(tǒng)進行攻擊，這也是為什么微軟加大安全力度，保護用戶免受惡意軟件的侵襲。同時，微軟也希望業(yè)界伙伴和其他相關(guān)人士能夠與微軟公司一道，采取負責任的步驟和態(tài)度，共同保護用戶免受侵襲?！?/P>

安全性是一直是Vista操作系統(tǒng)宣傳的重點之一，微軟之前曾公開表示的Vista具有很高的安全可靠性。還沒正式面世就被發(fā)現(xiàn)隱患，讓Vista的安全可靠性，受到了安全人士的質(zhì)疑。（劉陽/文）