黑帽駭客展示的Vista漏洞 微軟補好了
http://taiwan.cnet.co...ftware/0,2000064574,20110826,00.htm
CNET新聞專區：Joris Evers　　23/10/2006    

微軟公司已修改Windows Vista，封住今夏駭客大會展示的一個安全漏洞。但新的修補程式卻可能造成新的問題。

今年8月在黑帽(Black Hat)駭客大會上，新加坡Coseinc公司的波蘭籍研究員Joanna Rutkowska示範如何鑽安全漏洞，避開64位元版Vista內建的安全防護功能，讓未經簽章認證的驅動程式碼(driver code)繼續執行。這種繞道而行的作法，可能讓駭客在電腦內安裝惡意驅動程式，構成嚴重的威脅，因為這些惡意程式在低層級的作業系統執行。

Rutkowska也在黑帽安全會議上，示範如何用她寫的範本程式(exploit)入侵Windows Vista Release Candidate 2--Vista作業系統的最後測試版。該測試版已在10月上旬釋出。

Rutkowska 19日在她的部落格上寫道：「我們很快就發現，我們的範本程式已經沒有作用了。」

微軟把安全漏洞補起來，是好消息；但這也可能帶來一些問題。

Rutkowska指出，微軟顯然已把可能被駭客用來攻擊的安全漏洞給補了起來，方法是阻止在使用者模式下跑的應用程式把資料寫入( write-access)原始磁碟(raw disk)的磁區，就算這些應用程式用更高的管理員權限來執行也不放行。但她認為，這是個餿主意。

她說，微軟阻止駭客入侵的方法可能導致相容性的問題，特別是對磁碟編輯器和資料回復工具等程式而言。現在，這類應用程式必須另外找自己的、經過簽證的核心層級驅動程式，才能正常運作。

再者，微軟攔阻攻擊的手法只能治標，不能治本。Rutkowska說，駭客仍可以劫持合法的驅動程式，繼續作亂。她說：「這沒辦法阻止駭客借用經過簽證的驅動程式，來發動攻擊。」

微軟安全性技術部門的經理Stephen Toulouse說，從「時間和產品所受衝擊」的觀點來看，目前的改變是最適當的對策。他說：「從應用程式相容性的角度來看，我們相信，這項改變不會造成什麼大問題。記得，這只附加在64位元版本上。」

Toulouse也指出，駭客要發動攻擊，必須取得電腦上的管理員權限，這意味攻擊會被Vista的使用者帳戶控制功能(UAC)給攔截。Vista內建的UAC功能用於使用者權限較少的PC，是微軟防止惡意程式入侵Vista電腦的主要方法。相形之下，前一版Windows XP預設環境是管理員模式，可能讓駭客入侵後大肆破壞。

Toulouse說：「電腦若是被自己的管理員任意亂搞，談保護就難上加難。然而，我們覺得，Joanna的技巧是我們稍加調整後可以預先防止的。」

在她的黑帽簡報中，Rutkowska提議，微軟可採取兩種替代方式修補Vista漏洞。但她說：「微軟似乎決定忽略這些建議，轉而採取最簡單的解決辦法，而不顧走捷徑不能真正解決問題。」（唐慧文／譯）