PConline北京1月23日[文/操剛]“微軟的Vista講求的就是要把安全性能做到最好，但一旦我們公布的這個漏洞被攻破的話，他們最新的UAC技術將形同虛設，那么vista就跟目前的XP系統沒有什么區別了，這種后果是十分嚴重的。”

　　1月22日下午，業界知名安全專家劉旭正式向媒體通報微軟Vista操作系統存在可偽造用戶令牌的安全漏洞，通過該漏洞，病毒可任意獲取電腦最高管理權并可對電腦進行任何操控。

　　據悉，UAC(User Account Control : 用戶帳戶控制)是微軟為提高系統安全而在Windows Vista中引入的新技術，它要求所有用戶在標準賬號模式下運行程序和任務，阻止未認證的程序安裝，并阻止標準用戶進行不當的系統設置改變。

　　不過劉旭表示，Vista在這套新機制的技術實現時，出現了重大安全隱患。劉旭通過演示指出，Vista存在可仿冒“訪問令牌”的重大安全漏洞。利用這個漏洞，當用戶以管理（administrator user） 、一般用戶（standard user）甚至權限很低的訪客用戶（guest user）登陸系統時，惡意程序可通過偽造的訪問令牌替換系統生成的令牌，將用戶的權限自動提升為具有絕對控制權的超級管理員(full administrator user)權限，即不論什么類型的用戶，是本地登錄還是遠程登錄，都自動成為超級管理員，系統所運行的任何一個程序都自動具有了管理員權限，從而完全繞過了UAC，使UAC形同虛設。這時的Vista就同Windows XP一樣，用戶面臨了易遭受病毒、黑客攻擊的風險。

　　同時，劉旭也同時表示了UAC在針對普及用戶時表現的三個不盡如人意的地方，首先，普通用戶在開啟了UAC時，一般的操作都會出現不停的詢問對話框，給用戶造成了不方便；其次，對于UAC的詢問報警，部分用戶很難做到準確無誤的判斷，這其中難免會碰到一些惡意軟件的蒙騙過關；最后，vista的上市可能會導致捆綁型木馬病毒的增多。

　　據劉旭透露，此次作為演示的vista版本即是微軟即將上市的RTM版本。

　　微軟正面回應：產品需完善否認存有漏洞。

　　就在劉旭剛剛通報完vista漏洞事件之后，PConline新聞組便收到了微軟官方的正面回復信件。信件表示，微軟于本月12日就收到了來自東方微點公司（劉旭的職位為總經理）的電子郵件，并隨即通過電子郵件進行了溝通。按照彼此的溝通, 該問題需要用戶可以物理接觸到安裝vista系統的機器, 并以系統管理員的身份本地登陸，安裝一個惡意軟件來篡改Vista系統，這樣當使用者以普通用戶身份登陸后，他/她可以擁有系統管理員的權限。業界對系統漏洞的普遍理解是, 如果在普通用戶權限下能夠安裝軟件來篡改系統使得普通用戶獲得系統管理員的權限，將說明存在系統漏洞，而演示并沒有表明可以這樣，并且在和該公司的所有溝通過程也沒有表明可以從遠程來對系統進行攻擊, 因此綜上所述, 這個問題不是一個操作系統的漏洞。

　　微軟方面同時表示，在Windows Vista的開發過程中，安全被提到了一個前所未有的重視高度。但是軟件產品的特點決定了軟件產品的安全性不能達到百分之百。即使再安全的操作系統，安全問題也會一直存在，黑客和病毒將會不斷地對系統進行攻擊，這也是為什么微軟加大安全力度，保護用戶免受惡意軟件的侵襲。同時，微軟也希望業界伙伴和其他相關人士能夠與微軟公司一道，采取負責任的步驟和態度，共同保護用戶免受侵襲。