漏洞预警六：IE脚本引擎溢出漏洞　　

　　类型：跨站脚本漏洞　　

　　危险程度：★★★★　　

　　漏洞被利用后果：流氓软件通过恶意脚本进入系统　　

　　Windows脚本文件是极为常见的一种程序，由于它通常都是在系统后台工作，并没有引起人们的注意。恶意脚本正是利用这一点来入侵用户系统。由于编写简单、修改容易，脚本病毒已成为极为常见的病毒之一，很多用户都曾有过被这些脚本病毒弄得不知所措的经历。　　

　　由于脚本的执行离不开Windows Script Host(WSH)的支持，虽然WSH 从5.6开始，可以成功避免对Windows脚本宿主不加限制的滥用，但是黑客通过修改注册表的相关内容就可以成功躲过这一限制，这一情况在Vista中也很难改观。所以用户无论在什么时候，尤其是上网的时候，一定要将杀毒软件的脚本监控功能打开，通过对恶意脚本实施拦截，可以避免大量利用恶意脚本进行的黑客入侵。　　

　　漏洞预警七：账户控制绕过安全限制漏洞　　

　　类型：本地提权漏洞　　

　　危险程度：★★★☆　　

　　Vista中的最大变化非UAC莫属。UAC即用户账户控制，它的核心在于，当相应的程序或任务执行可能会影响计算机运行的操作，或执行更改影响其他用户的设置的操作时，系统即会弹出相应的警告信息并等待用户确认。　　

　　用于保护系统免受入侵的UAC功能，在可靠性上并不完美。比如安装一款程序时，UAC询问用户是否进行运行，当用户确认后，UAC就会认为利用已经安装的程序执行的命令具有和该程序一样的权限。如果用户运行的程序捆绑了木马，那么该木马执行的所有命令都将获得一样高的权限，这样UAC的安全功能就被成功绕过。如果和恶意脚本进行配合入侵，那么该功能也就形同虚设。此前已经有安全公司指出Vista存在可仿冒访问令牌的漏洞，尽管微软表示“这还算不上是漏洞,充其量只能说是不完备”，但这种“不完备”能被黑客利用到哪种程度就不太好说了。

　　漏洞预警八：语音识别远程执行漏洞　　

　　类型：远程执行漏洞　　

　　危险程度：★★★　　

　　漏洞被利用后果：黑客通过语音对系统进行诸如格式化等操作　　

　　Windows语识别系统是Vista中一个很有价值的利用工具，用户可以通过语音和计算机交流，这对于操作键盘和鼠标设备不熟悉的人们是一个尤其有用的功能。你可以训练Vista识别你的语音，以便以后通过语音来执行大多数常见任务。　　

　　可是Vista其中的一个安全隐患就源自于语音识别系统。漏洞在于黑客可以事先录下一段带有操作指令的声音，通过网页背景音乐等形式在用户电脑扬声器上播放从而操纵电脑。如果用户已启用语音识别功能，黑客就可以通过构建恶意网页等办法让计算机用户下载和播放一段含有恶意指令的录音，这样黑客根本不用动手就可以远程控制你的计算机系统了。　　

　　漏洞预警九：家长控制权限绕过漏洞　　

　　类型：权限绕过漏洞　　

　　危险程度：★★★　　

　　漏洞被利用后果：管理员用户对系统进行的限制形同虚设　　

　　通过“家长控制”功能，用户可以对儿童使用计算机的方式进行协助管理。当“家长控制”阻止了对某个网页或游戏的访问时，将显示一个通知声明已阻止该网页或程序。　　

　　“家长控制”功能看上去非常不错，给那些担心孩子过度使用电脑的家长提供了一个很好的防范措施。但是根据微软以往的经验，这样的功能限制常常可以轻易绕过。比如系统防火墙就是一个很好的例子，因为程序所有的设置内容都将保存到注册表之中。所以孩子只要找到注册表中相关设置内容的保存之处，然后直接通过修改注册表中的设置，即可轻松地绕过“家长控制”功能中的所有设置。　　

　　漏洞预警十：Windows Defender绕过文件检测漏洞　　

　　类型：绕过文件检测漏洞　　

　　危险程度：★★★　　

　　漏洞被利用后果：Windows Defender无法对系统进行有效保护

　　Windows Defender被直接集成到了“Vista”操作系统当中，它是微软推出的一款反间谍软件，现在用户可以获得免费的技术支持和在线更新代码特征库。

　　可是Windows Defender在面对同一个恶意程序的时候会作出不同的判断。比如Windows Defender可以对没有伪装的恶意程序进行查杀，而将恶意程序和其他程序进行捆绑以后，Windows Defender就无法进行判断操作了。这样一来，黑客就可以很容易地绕过它的检测。