6月19日消息,最先引起人們關(guān)注微軟Windows 7的UCA(用戶賬戶控制)功能中的安全漏洞的微軟博客稱,這個安全漏洞仍然存在。微軟沒有修復(fù)這個安全漏洞,盡管微軟很快就要發(fā)布最終版本的Windows 7。
這個名為Long Zheng的博客在網(wǎng)上發(fā)表了一個視頻,演示了如何利用UCA安全漏洞。UCA安全功能是Windows Vista首先采用的。這個功能可設(shè)定用戶在Windows 7 PC上的權(quán)限。
Zheng還指出,微軟技術(shù)研究員Mark Russinovich編寫的說明書文件試圖解釋UAC的問題,明確指出微軟不打算修復(fù)Windows 7對UAC功能做出的修改。這個修改使Windows 7不太安全,因為這個修改允許某人在用戶不知道的情況下遠(yuǎn)程關(guān)閉這個功能。
Zheng在今年2月首次指出了這個修改及其安全漏洞。他當(dāng)時說,新的UCA“標(biāo)準(zhǔn)用戶”默認(rèn)設(shè)置就是存在安全風(fēng)險的地方,因為這個默認(rèn)設(shè)置允許在發(fā)生變化的時候不通知用戶。對于UCA的修改被看作是對于Windows設(shè)置的修改。因此,如果UCA功能關(guān)閉了,用戶將得不到通知。Zheng說,他能夠使用鍵盤快捷鍵和代碼遠(yuǎn)程關(guān)閉這個功能。
自從微軟在Windows Vista中推出UCA功能以來,這個功能一直是有爭議的。這個功能阻止沒有管理權(quán)限的用戶對系統(tǒng)進行沒有獲得批準(zhǔn)的修改。
Russinovich在自己的文件中承認(rèn),Zheng和其他人發(fā)現(xiàn)的第三方軟件能夠利用這個功能獲得PC的管理員權(quán)限是準(zhǔn)確的。然而,據(jù)Zheng的博客稱,Russinovich似乎否認(rèn)遠(yuǎn)程執(zhí)行代碼的可能性并且不提供這個安全漏洞的補丁,因為他說惡意軟件還有通過UCA功能進入系統(tǒng)的其它方法。
微軟對于Zheng的說法和發(fā)表的視頻沒有發(fā)表評論。然而,微軟發(fā)言人私下表示,Zheng也許錯誤地解釋了Russinovich的文件。
當(dāng)Zheng首次指出這個安全漏洞的時候,微軟就堅持使用UCA功能的立場。微軟稱,這個功能是不能被利用的,除非惡意軟件已經(jīng)在那個系統(tǒng)上運行或者其它東西已經(jīng)被突破了。(編輯:王小凡)
進入論壇>>聲明:IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內(nèi)容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
北京時間6月19日下午消息,據(jù)國外媒體報道,英特爾日前對處理器與平臺品牌進行調(diào)整的做法遭到部分用戶的反對,他們批評新命名規(guī)則更加含糊。 英特爾周三宣布,正在調(diào)整酷睿處理器的命名規(guī)則,改變品牌名稱中的系列名>>>詳細(xì)閱讀
本文標(biāo)題:微軟堅信用戶賬戶控制漏洞不會被利用 不愿發(fā)布補丁
地址:http://www.oumuer.cn/a/xie/20111230/202908.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示