【IT168 软件资讯】赛门铁克前几天曾经揭漏了Windows Vista中网络协议的安全缺陷,近日再一次炮轰微软的这个Windows XP的接班人的安全性。
 |
| Windows Vista全接触专题 |
相关精彩文章
微软公司公布Windows Vista升级规范
微软Vista新功能聚焦 Movie Maker 6
比XP更不安全 赛门铁克点Vista死穴
反对声音之外 选择Vista的20大理由
反对之外 选择Vista的20个理由(下)
在赛门铁克的第二份Vista安全报告中,把矛头指向了Vista中被称为用户帐号控制(UAC)的安全功能。UAC是Vista中相当实用的一个功能。启用该功能后,就算用户使用管理员帐户登录系统,也会受到一些权限上的限制。这样恶意程序想要对系统中的重要选项进行修改的时候,系统会首先要求用户输入具有管理员权限帐户的名称和密码。在windows XP中也有类似功能。
&picid=17952.jpg) |
| Vista UAC |
“我们发现了许多缺陷可以绕过验证,从而继续得到该计算机的完全控制权限,”赛门铁克首席安全专家Matthew Conover在一篇题为“针对Windows Vista安全模式的攻击”的报告如此写到。赛门铁克一发言人本周表示,这份报告已经在上周提供给赛门铁克用户,并计划在Vista发布之前向公众开放。
Conover研究了二月发布的Vista预览版。他的报告描述了一个攻击者如何攻陷一台装有IE 7的vista计算机。攻击过程是这样的,当使用Vista的用户访问了某些恶意网站后,恶意文件就被种植在该机器上,该文件会利用存在于Active X中的一个安全缺陷。报告中详细描述了这种恶意文件如何获得权限并把该计算机的完全控制权限给予攻击者。
Conover表示,权限扩大的实现方法比较繁琐,这预示着Windows Vista安全模式要在同一个帐号下加强低等级别和中等级别权限的区别,具有很大的难度。
微软已经就赛门铁克报告中描述的大多数问题进行了回应,微软一发言人表示:“Windows Vista早期测试版中的任何问题都不能代表最终正式产品的质量。”
此外,微软表示赛门铁克的报告假定用户使用管理帐号登陆,而这是微软所不推荐的。微软建议用户采用普通帐号权限,这样在执行诸如安装软件之类的任务前,用户会被要求输入管理员帐号和密码。
微软把Vista成为迄今为止最安全的操作系统。而用户帐号控制(UAC)和IE 7则是保证其安全性的重要两环。
赛门铁克计划发布三份关于Windows Vista的报告,关于用户帐号控制(UAC)的该份报告是第二份。第一份是关于Vista新的网络技术的安全性,已经于上周公开发布。第三份预计将在本周通过赛门铁克的DeepSight安全服务中公布,内容是关于Vista内核。
曾经是同盟的微软和赛门铁克如今在安全市场上已经展开直面的肉搏战。今年五月份,微软发布了个人安全产品Windows Live OneCare,企业桌面安全产品也正在准备之中。之前赛门铁克起诉微软盗窃其数据存储技术。
&picid=17954.jpg) |
| Windows Live OneCare |
赛门铁克发言人Pamela Reese表示,“赛门铁克一直在不断的研究和分析新技术,考虑到公众对Vista的兴趣,赛门铁克将把这些报告公诸于众,同时也希望在Vista正式发布前,报告中描述的问题会得到妥善的解决。”
但是,据Gartner分析家John Pescatore分析,大范围的公布一个还没有发布的操作系统中漏洞并不会对人们有什么帮助。不过此举倒是有可能会帮助赛门铁克得到更多的市场:当Vista正式发布的时候,人们可能会选择赛门铁克的桌面安全产品。
此外,安全公司通过发现漏洞可以从中获利,因为这样可以使得用户更信任他们的安全技术,Pescator表示。
赛门铁克表示也希望看到微软通过提高他的最新操作系统的安全性来善待用户。但是,赛门铁克认为,如果用户采用赛门铁克和其他安全厂商的产品,将会得到更高的安全保护。
(文章作者:Joris Evers,文章来源:cnet ,点击查看原文)
