日前在拉斯維加斯舉行的本年度黑帽大會上，微軟公司很有信心地發放了三千份Vista，邀請他們尋找安全漏洞。果然，這個挑戰沒有難倒參加黑帽大會的各路高手。8月4日，就在大會的最後一天，一位波蘭女駭客就演示了如果利用Vista作業系統的兩個漏洞攻擊系統。

　　這位安全女高手來自波蘭，名叫喬安娜。魯特克絲卡（Joanna Rutkowska），現在效力於新加坡的安全公司Coseinc.當天，魯特克絲卡在拉斯維加斯的凱撒王宮大酒店的舞廳演示了如果利用Vista作業系統中的兩個漏洞展開攻擊。其中的一個漏洞發生在Vista對非簽名驅動程式的研製上，另外一個則涉及AMD研發的一種虛擬化技術（Vista硬體平臺）。

　　有關第一個漏洞。微軟在64位的Vista中啟動了一種安全機制，限制那些沒有經過簽名的驅動程式運行。魯特克絲卡發現了一個可以繞過微軟審核的辦法，從而讓惡意的驅動程式隨意運行在Vista中。眾所週知的是，由於驅動程式一般在作業系統底層，因此可以對系統構成致命危險。

　　魯特克絲卡表示，繞過這種審核機制並不意味著Vista不安全，它只不過沒有像廣告上說的那麼安全。一般情況下，軟體開發商很難保證百分之百的作業系統內核安全。此外，魯特克絲卡還表示，這種利用驅動程式的攻擊要求用戶是用管理員帳戶登錄。如果在普通用戶帳戶下，由於微軟已經實施了“用戶帳戶控制”技術，保證應用程式只獲得最小的許可權，因此這種攻擊可能無法得逞。不過，如果用戶在安全設置上不注意，亂點“OK”，那麼也將帶來危險。

　　魯特克絲卡發現的第二個漏洞和虛擬化技術有關，即AMD公司開發的“安全虛擬機”Pacifica.這位高手甚至創建了一個名為“Blue Pill”的惡意程式。她可以繞過Pacifica的審核，安裝到系統中，並充當駭客的後門工具。

　　這位專家指出，雖然“Blue Pill”基於微軟和AMD的技術，不過在其他的軟硬體平臺上也應該可以使用。魯特克絲卡表示：“很多人猜測我的工作可能是受英特爾公司的贊助，因為我將AMD公司的虛擬化技術作為目標，這並不是事實。”

　　微軟公司也是這次黑帽大會的主角之一。當“領略”了魯特克斯塔的演示之後，微軟人士表示，公司正在研究如何在Vista的最終版本中避免出現魯特克絲卡所提及的漏洞。此外，微軟也在和硬體合作夥伴研究，防止虛擬化技術被類似“Blue Pill”的惡意程式所利用。