分析：光标漏洞空隙Vista 专家称缺陷自古有之

微软本周二发布的“危急”补丁软件在Vista的安全装甲上戳了一个洞，但安全专家建议它仍然是相当安全的。

本周二，微软打破常规地发布了一款补丁软件，修正了自上周以来电脑犯罪分子一直用来攻击运行包括Vista在内的Windows PC的一个安全缺陷。

Determina一名南德说，随着软件缺陷的被发现，Vista安全装甲被攻破了。它不是超人，也只是普通人，也只是普通的软件而已。在缺陷方面，Vista与微软过去发布的操作系统相比非常相似。

微软在今年1月份正式发布了消费者版Vista，将其宣扬为有史以来最安全的Windows操作系统。它也是在开发时就考虑到了安全的客户端Windows操作系统，这意味着Vista应当有较少的可以被黑客利用的缺陷。

影响旧版本Windows的缺陷也影响Vista。该缺陷存在于Windows处理动画光标的方式中，当用户浏览恶意网站或查看恶意电子邮件时，黑客就会控制用户的PC。

一些专家表示，这一缺陷应当被微软在Vista的代码审查过程中被发现。他们说，该缺陷也是有缺陷的代码被从以前版本的Windows中拷贝到Vista中的证据。

Qualys研究经理阿默尔表示，微软安全开发生命周期过程（SDL）应当能够发现这一缺陷。

TippingPoint安全研究经理达哈曼卡表示，光标功能中的这一缓冲区溢出缺陷应当已经被修正，因为同一个Windows组件中的一个缺陷在二年前就得到了修复。这应当促使微软对这些代码进行复查。

微软对它应当提前发现该缺陷的说法表示了异议。微软安全技术部门的高级产品经理斯蒂芬说，这么说的人并非真正理解安全缺陷，因为并非所有缺陷都是被以同样方式“制造的”。

就该光标缺陷而言，尽管有些相似，但它不同于以前的缺陷。SDL不能保证发现所有的缺陷。

达哈曼卡表示，在最初的缺陷于2005年被发现和修复后，微软忘了重新检查各种可能性。

南德表示，一个小秘密是，微软显然没有从零开始地开发Vista，并没有为Vista开发全新的代码。自Windows NT以来，每个版本的Windows中都包含有这一缺陷。

微软承认Vista会有缺陷。斯蒂芬说，Vista中还有其它安全缺陷，SDL不能确保不会出现缺陷，没有什么能够做到这一点。

这一光标缺陷就象是发送给安全研究人员的一个信号。黑客将会寻找相似的Windows组件中的缺陷，找到攻击Vista的其它方式。

达哈曼卡说，这是一个重大突破，但这是一个巨大的指向器。如果以后发现更多的缺陷，Vista将无法向用户提供它所声称的保护。

但是，Vista安全堡垒不会因这一个缺陷而坍塌。阿默尔说，Vista与XP，以及微软的其它客户端操作系统更安全。如果考虑Windows 2000、XP、2003，我仍然要说Vista仍然是更安全的操作系统。

南德还表示，尽管微软对这一安全缺陷有些“草木皆兵”，但由于User Account Control和其它限制Windows权限的其它功能，Vista比其“前辈”更安全。

斯蒂芬表示，这也是微软的目标。用户必须对比Vista和XP。我们在开发Vista时报的目标就是使它比以往的版本更安全。