名為Long Zheng的博客在網(wǎng)上發(fā)表了一個(gè)視頻，演示了如何利用UCA安全漏洞。UCA安全功能是Windows Vista首先采用的。這個(gè)功能可設(shè)定用戶在Windows 7 PC上的權(quán)限。

    6月19日消息，最先引起人們關(guān)注微軟Windows 7的UCA（用戶賬戶控制）功能中的安全漏洞的微軟博客稱，這個(gè)安全漏洞仍然存在。微軟沒有修復(fù)這個(gè)安全漏洞，盡管微軟很快就要發(fā)布最終版本的Windows 7。

這個(gè)名為Long Zheng的博客在網(wǎng)上發(fā)表了一個(gè)視頻，演示了如何利用UCA安全漏洞。UCA安全功能是Windows Vista首先采用的。這個(gè)功能可設(shè)定用戶在Windows 7 PC上的權(quán)限。

Zheng還指出，微軟技術(shù)研究員Mark Russinovich編寫的說明書文件試圖解釋UAC的問題，明確指出微軟不打算修復(fù)Windows 7對(duì)UAC功能做出的修改。這個(gè)修改使Windows 7不太安全，因?yàn)檫@個(gè)修改允許某人在用戶不知道的情況下遠(yuǎn)程關(guān)閉這個(gè)功能。

Zheng在今年2月首次指出了這個(gè)修改及其安全漏洞。他當(dāng)時(shí)說，新的UCA“標(biāo)準(zhǔn)用戶”默認(rèn)設(shè)置就是存在安全風(fēng)險(xiǎn)的地方，因?yàn)檫@個(gè)默認(rèn)設(shè)置允許在發(fā)生變化的時(shí)候不通知用戶。對(duì)于UCA的修改被看作是對(duì)于Windows設(shè)置的修改。因此，如果UCA功能關(guān)閉了，用戶將得不到通知。Zheng說，他能夠使用鍵盤快捷鍵和代碼遠(yuǎn)程關(guān)閉這個(gè)功能。

自從微軟在Windows Vista中推出UCA功能以來，這個(gè)功能一直是有爭議的。這個(gè)功能阻止沒有管理權(quán)限的用戶對(duì)系統(tǒng)進(jìn)行沒有獲得批準(zhǔn)的修改。

Russinovich在自己的文件中承認(rèn)，Zheng和其他人發(fā)現(xiàn)的第三方軟件能夠利用這個(gè)功能獲得PC的管理員權(quán)限是準(zhǔn)確的。然而，據(jù)Zheng的博客稱，Russinovich似乎否認(rèn)遠(yuǎn)程執(zhí)行代碼的可能性并且不提供這個(gè)安全漏洞的補(bǔ)丁，因?yàn)樗�說惡意軟件還有通過UCA功能進(jìn)入系統(tǒng)的其它方法。

微軟對(duì)于Zheng的說法和發(fā)表的視頻沒有發(fā)表評(píng)論。然而，微軟發(fā)言人私下表示，Zheng也許錯(cuò)誤地解釋了Russinovich的文件。

當(dāng)Zheng首次指出這個(gè)安全漏洞的時(shí)候，微軟就堅(jiān)持使用UCA功能的立場。微軟稱，這個(gè)功能是不能被利用的，除非惡意軟件已經(jīng)在那個(gè)系統(tǒng)上運(yùn)行或者其它東西已經(jīng)被突破了。（編輯：王小凡）

進(jìn)入論壇>>聲明：IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的，并不意味著贊同其觀點(diǎn)或證實(shí)其描述。文章內(nèi)容僅供參考。新聞咨詢：(010)68023640.

　　推薦閱讀

　　英特爾調(diào)整品牌名稱遭用戶抵制

北京時(shí)間6月19日下午消息，據(jù)國外媒體報(bào)道，英特爾日前對(duì)處理器與平臺(tái)品牌進(jìn)行調(diào)整的做法遭到部分用戶的反對(duì)，他們批評(píng)新命名規(guī)則更加含糊。 英特爾周三宣布，正在調(diào)整酷睿處理器的命名規(guī)則，改變品牌名稱中的系列名>>>詳細(xì)閱讀

本文標(biāo)題：微軟堅(jiān)信用戶賬戶控制漏洞不會(huì)被利用 不愿發(fā)布補(bǔ)丁

地址：http://m.sdlzkt.com/a/xie/20111230/202908.html

 1/2    1  2 下一頁