4月5日国际报道 微软本周二发布的“危急”补丁软件在vista的安全装甲上戳了一个洞,但安全专家建议它仍然是相当安全的。
本周二,微软打破常规地发布了一款补丁软件,修正了自上周以来电脑犯罪分子一直用来攻击运行包括vista在内的windows pc的一个安全缺陷。
determina一名南德说,随着软件缺陷的被发现,vista安全装甲被攻破了。它不是超人,也只是普通人,也只是普通的软件而已。在缺陷方面,vista与微软过去发布的操作系统相比非常相似。
微软在今年1月份正式发布了消费者版vista,将其宣扬为有史以来最安全的windows操作系统。它也是在开发时就考虑到了安全的客户端windows操作系统,这意味着vista应当有较少的可以被黑客利用的缺陷。
影响旧版本windows的缺陷也影响vista。该缺陷存在于windows处理动画光标的方式中,当用户浏览恶意网站或查看恶意电子邮件时,黑客就会控制用户的pc。
一些专家表示,这一缺陷应当被微软在vista的代码审查过程中被发现。他们说,该缺陷也是有缺陷的代码被从以前版本的windows中拷贝到vista中的证据。
qualys研究经理阿默尔表示,微软安全开发生命周期过程(sdl)应当能够发现这一缺陷。
tippingpoint安全研究经理达哈曼卡表示,光标功能中的这一缓冲区溢出缺陷应当已经被修正,因为同一个windows组件中的一个缺陷在二年前就得到了修复。这应当促使微软对这些代码进行复查。
微软对它应当提前发现该缺陷的说法表示了异议。微软安全技术部门的高级产品经理斯蒂芬说,这么说的人并非真正理解安全缺陷,因为并非所有缺陷都是被以同样方式“制造的”。
就该光标缺陷而言,尽管有些相似,但它不同于以前的缺陷。sdl不能保证发现所有的缺陷。
达哈曼卡表示,在最初的缺陷于2005年被发现和修复后,微软忘了重新检查各种可能性。
南德表示,一个小秘密是,微软显然没有从零开始地开发vista,并没有为vista开发全新的代码。自windows nt以来,每个版本的windows中都包含有这一缺陷。
微软承认vista会有缺陷。斯蒂芬说,vista中还有其它安全缺陷,sdl不能确保不会出现缺陷,没有什么能够做到这一点。
这一光标缺陷就象是发送给安全研究人员的一个信号。黑客将会寻找相似的windows组件中的缺陷,找到攻击vista的其它方式。
达哈曼卡说,这是一个重大突破,但这是一个巨大的指向器。如果以后发现更多的缺陷,vista将无法向用户提供它所声称的保护。
但是,vista安全堡垒不会因这一个缺陷而坍塌。阿默尔说,vista与xp,以及微软的其它客户端操作系统更安全。如果考虑windows 2000、xp、2003,我仍然要说vista仍然是更安全的操作系统。
南德还表示,尽管微软对这一安全缺陷有些“草木皆兵”,但由于user account control和其它限制windows权限的其它功能,vista比其“前辈”更安全。
斯蒂芬表示,这也是微软的目标。用户必须对比vista和xp。我们在开发vista时报的目标就是使它比以往的版本更安全。
