McAfee公司的一位研究员周一报告说,Windows的一项为简化伤残人士使用计算机而设计的特色在Vista中可能会被滥用。
根据Vinoo Thomas(一位McAfee的一位研究员)周一在其博客上的叙述,在安装了Vista的机器上,攻击者可以使用这个叫做粘滞键的作用来诱使用户启动未被授权的软件。
当Windows的用户按下Shift或Alt键五次以上时就能启动粘滞键,这样就使得这两个修饰键能够“粘滞”,从而另用户可以在不必同时按下两个键的情况下实现Shift-F1这样的命令。
攻击者可以用其他的可执行程序来替换sethc.exe文件(这个文件用于启动粘滞键),比如Thomas自己就写了一个Windows命令行工具来替换它。据Thomas所说,这个秘密的弱点在Windows 2000和Windows XP中就已经存在了。
虽然这是Vista的一个弱点,但是它到底能在多大程度上对Vista造成伤害还不得而知,因为攻击者必须首先获得计算机的访问权才能替换粘滞键文件。
Thomas相信这个弱点将会使得内部攻击者有可能迂回的非法登陆到服务器终端或是工作站上。
微软方面则目前还没有对这个问题发表任何评论。
