诺顿Norton(赛门铁克)2份报告 剑锋所指vista安全隐患

赛门铁克的安全研究院会出三个报告，阐述微软的下一代vista操作系统中潜在的安全问题，现在已经出来了两个。这里我们看一下vista的用户账号控制和权限升级功能。 第二份报告和赛门铁克7月中旬发出的一封信件内容非常相似，称在vista的网络技术中，存在溢出的问题。微软正打算用这些技术提升vista的安全性。 特别需要注意的是，赛门铁克的报告详细描述了许多存在于vista的uap（user account protection）功能中的漏洞，这些漏洞可以让企业用户降低防病毒能力、在被感染的时候升级病毒的权限，从而能够传播或在被感染机器上种植其它病毒。 此外，对于lua（least-privilege user accounts或limited user accounts），赛门铁克认为，外部攻击可能绕过防护，通过一些执行漏洞攻击系统，这样有的人就可能升级计算机的访问权限，从而侵占运行着vista系统的桌面。 赛门铁克的报告强调的另外一点是关于vista的一个新特性的，强制完整性控制，设计这个功能也是为了帮助限制权限升级。 赛们铁克的研究员在报告中不断强调vista 3个公开的测试版中存在的漏洞，并指出，每一次推出新的测试版，微软都修补了大量的潜在漏洞。但如果要求vista中完全没有漏洞，恐怕也不太可能。毕竟这个系统太大了。 微软计划在2007年1月推出vista的最终版，他们表示，赛门铁克指出的这些漏洞不会出现在vista的最终版本中。 在vista的开发中，微软采用了一种新的开发过程，称为sdl（security development lifecycle），要求所有代码添加到产品之前必须经过潜在问题检验。 通过sdl和“基础架构改变（fundamental architectural changes）”，在蠕虫、病毒、恶意软件方面用户会更安全。对于赛门铁克的研究报告，微软的发言人说：“我们会基于这种反馈做出改进。在windows vista早期版本中出现的问题，不能准确反映新功能的质量和深度。” 在第一份报告中，赛门铁克的研究员称，在vista的底层软件代码中发现了三个不同类别的潜在漏洞，包括可能引起操作系统崩溃的稳定性问题。 对于微软，除了努力提升其新的操作系统的安全性之外，还冲入安全市场，成为像赛门铁克这样的主流桌面反病毒厂商的竞争对手。 赛门铁克的研究员称其最近对vista潜在漏洞的研究源于用户对该操作系统的关注，而不是为了挑微软的毛病。