CUN News 電腦新聞台 CUN電腦新聞台 CUN News By Computer User Network (http://hk852.to/cun/) From CNET資訊

1,906愛的鼓勵 2訂閱站台

上月底剛推出的微軟新一代作業系統Windows Vista隨即面臨品質考驗，安全研究員與駭客已開始積極尋找其中潛在的重大安全瑕疵。

本月15日，一名俄羅斯程式開發員公佈一份資料，描述如何在包含Vista的所有微軟商用系統中，提高個人權限。同一週末，一家位於矽谷的安全公司也通知微軟，他們發現一項瑕疵和另外五項弱點，其中一項屬於IE 7瀏覽器的嚴重程式錯誤。

根據防毒軟體商Determina的說法，IE 7的問題特別引人擔憂，因其可能導致使用者染上惡意軟體，為攻擊者開啟入侵系統的大門。

Determina和一群小型安全公司，習慣鑽研應用軟體和作業系統的技術細節，以尋找潛在瑕疵。當他們發現微軟產品的問題，便立即通報該公司處理。微軟最近推出的作業系統皆有內建的技術，可透過網際網路自動修補。

僅管微軟聲稱Vista的可靠度大幅提昇，許多業界人士私下仍抱持「走著瞧」的態度。微軟前一個作業系統Windows XP在數年間陸續推出兩個service packs，才大幅改善其安全性，但仍不時被外部研究員抓出新的安全瑕疵。

上週五（22日），一名微軟高層在公司的安全網站公告，微軟正「密切監視」俄羅斯網站所描述的弱點。該弱點能讓Vista與其他Windows版本的標準使用者帳號權利升等，進而控制電腦的所有作業程序。Unix和Windows系統的使用者，都有執行功能的限制，唯有特定的系統管理帳號才享有完整的權利。

微軟安全反應中心作業經理Mike Reavey寫道：「針對這個問題，目前我們並未察覺到任何公開利用或攻擊的活動。雖然我知道這是個影響Windows Vista的弱點，我依然非常自信Windows Vista是我們至今最安全的平台。」

另一家安全公司Secunia也在22日發佈的公告中，將此瑕疵列入較低的風險等級。微軟發言人Nicole Miller 23日表示，公司正在調查瀏覽器的瑕疵，且並未收到任何相關的攻擊通報。

微軟已花費數千萬美元行銷預算，為Vista塑造最安全產品的形象，並寄望藉此阻擋近年來不斷造成Windows使用者困擾的惡意攻擊浪潮。

Vista之成敗攸關微軟的商譽。僅管該公司過去四年半來與安全業者全力奮戰，惡意軟體的威脅仍持續成長。網路攻擊從竊取家用及商用電腦的資訊，到挾持受害電腦代理執行犯罪行為，都對商業網路造成嚴重損害。

在開放網路的挑戰下，明年初才將正式推出的Vista系統，已經受到嚴格的檢視與考驗。Determina副總Nand Mulchandani說：「我覺得大家不該自滿。當軟體商說某個程式已經完全改寫，不代表它一定比前一版安全。我預期在未來半年或一年內，我們會看到一連串Vista問題出現。」他表示，該公司通報微軟的IE 7瑕疵，可導致密碼等資料被竊和遠端攻擊。

然而，IE 7一項主要的安全改進是所謂的軟體"sandbox"，即使感染了足以破壞瀏覽器作業的惡意軟體，也能限制損害程度。因此，任何攻擊者想藉由IE侵入Vista系統其他部分，或改寫檔案的能力應可受限。

不過，Determina安全研究員Alexander Sotirov表示，若結合前述的帳號權限更改瑕疵，惡徒還是有可能繞過sandbox機制。在這種情況下，受害電腦便可能受到永久損害，但他承認，這種攻擊尚未經過證實。Sotirov表示，他們已通知微軟另外四項發現的瑕疵，包括某個能讓攻擊者透過寄送惡意電郵，即可重複關閉Exchange電郵伺服器的錯誤。

上週，趨勢科技技術長向若干電腦新聞網站透露，某個地下電腦論壇向他兜售Windows Vista安全瑕疵的資料，開價5萬美元。但上週末該公司發言人澄清並未取得該訊息，因此無法證實其真偽。

許多電腦安全業者表示，網路上關於系統攻擊資訊的地下市場相當活躍。