【编者按】安全专家刘旭曝出Vista存在安全隐患后引起了各方面的关注，究竟是什么安全漏洞，会有什么危害，安全专家刘旭如约在1月22日下午公布该安全漏洞的详细信息。

    【IT168 资讯】1月22日下午，安全专家刘旭在北京如约演示了此前所称的Vista重大安全漏洞，在即将上市的Vista正式版本中，存在可伪造用户令牌(Access Token)的安全隐患，恶意攻击者利用该漏洞，可以自动成为超级管理员，从而让UAC(用户帐号控制)形同虚设。

微软Vista操作系统漏洞被攻演示图

    在windows Vista操作系统下，为提高系统安全性，微软引入了一个用户帐户控制（User Account Control简称UAC）新技术，所有用户在标准帐户模式下运行程序和任务时，会阻止未认证的程序安装，并防止用户进行影响系统安全的配置更改。
 
    刘旭介绍到，在Vista操作系统下，Vista存在可伪造的“访问令牌”的重大安全漏洞。利用这个漏洞，当用户以管理员（administrator user）、一般用户（standard user）甚至是权限更低的访客（guest user）用户登录系统时，恶意程序可通过伪造的超级管理员权限，即不论是什么类型的用户，是本地登录还是远程登录，都可以自动成为超级管理员，系统运行的任何一个程序都可以自动具有管理员权限，从而完全绕过了UAC，使UAC形同虚设，这时的Vista操作系统就同XP一样，用户面临着遭遇病毒肆虐、黑客攻击的风险。

    在号称“安全性极高”的Vista操作系统下，如果用户不小心运行了网上下载的含有恶意代码的程序，将会使当前用户具备了超级管理员权限，进而被黑客远程控制用户的机器。

    刘旭称，目前东方微点开发的软件已具备了阻止恶意程序攻击Vista操作系统漏洞能力。

    微软否认这是一个系统漏洞

    微软相关人士透露，确实收到了来自东方微点公司的电子邮件，并已与其进行了沟通。“首先，该问题需要用户可以物理接触到安装Vista系统的机器，并以系统管理员的身份本地登录，还要安装一个恶意软件来篡改Vista系统，这样当使用者以普通用户身份登录后，可以拥有系统管理员的权限。”

    微软中国相关负责人称，业界对系统漏洞的普遍理解是，如果在普通用户权限下能够安装软件来篡改系统，使得普通用户获得系统管理员的权限，将说明存在系统漏洞，“而演示并没有表明可以这样，因此这个问题不是一个操作系统的漏洞。”