UAC-løsning i Windows 7 Oppretter sikkerhetshull, Blogger sier

En endring som Microsoft gjorde i Windows 7 for å forbedre sin kontroversielle sikkerhetsfunksjon for brukerkontokontroll, har gitt det nye operativsystemet mindre sikkerhet, ifølge en blogger som følger Microsoft nøye.

Microsoft gjorde endringen til UAC, en funksjon som ble introdusert med Windows Vista, for å gjøre den mer brukervennlig i Windows 7. Men endringen har tillatt for "en enkel men genialt overstyring" som deaktiverer UAC uten noen handling fra brukerens side, i henhold til Jeg begynte Noe blogg skrevet av langvarig Microsoft-oppsynsmann Long Zheng.

Microsoft la UAC til Vista i et forsøk på å forbedre sikkerheten og gi folk som er de primære brukerne av en PC, mer kontroll over applikasjoner og innstillinger. UAC forhindrer brukere uten administrative privilegier å gjøre uautoriserte endringer i et system. Men på grunn av hvordan det ble satt opp i Vista, forhindrer UAC noen ganger at selv autoriserte brukere får tilgang til programmer og funksjoner som de normalt skal ha tilgang til.

Det gjør dette via en serie skjermoppfordringer som ber brukeren å verifisere privilegier, og det kan kreve at de skriver inn et passord for å utføre en oppgave. Dette kan forstyrre folks arbeidsflyt, selv under noen verdslige oppgaver, med mindre de er satt som lokaladministrator. UAC-meldingene ble så problematiske at Apple selv fortalte dem i en tv-reklame, og Microsoft lovet å forbedre funksjonen i Windows 7.

Windows 7 er fortsatt i beta og forventes ikke å sendes til sent i år eller tidlig neste. Microsoft lanserte betaen tidligere i måneden og skisserte endringene til UAC på Engineering Windows 7-bloggen.

Endringene reviderer UACs standardinnstilling, og det er her sikkerhetsrisikoen ligger, ifølge Zheng.

Som han forklarte I sitt innlegg er UACs standardinnstilling i Windows 7 å "kun varsle meg når programmer prøver å gjøre endringer på datamaskinen min" og "Ikke gi beskjed når jeg endrer Windows-innstillinger."

UAC skiller mellom en tredjedel -parti-program og en Windows-innstilling med en sikkerhetssertifisering, og kontrollpanelelementer er signert med dette sertifikatet, slik at de ikke utsteder meldinger hvis en bruker endrer systeminnstillingene, skrev han.

Men i Windows 7 endres UAC regnes som en "endring til Windows-innstillinger," ifølge Zheng. Dette, kombinert med det nye sikkerhetsnivået for UAC, betyr at en bruker ikke blir bedt om endringer gjøres til UAC, inkludert om den ble deaktivert.

Med noen få hurtigtastene og en kode, sa Zheng han kan deaktivere UAC eksternt uten at sluttbrukeren vet.

"Ved hjelp av min utvikler side-kick Rafael Rivera, kom vi opp med et fullt funksjonelt proof of concept i VBScript (ville være like lett i C ++ EXE) for å gjøre det - emulere noen tastaturinnganger - uten å spørre UAC, "skrev han. "Du kan laste ned og prøve det selv, men husk at det faktisk deaktiverer UAC."

Zheng skrev også hva han sa, er en løsning på problemet på bloggen sin.

Microsoft sa fredag ​​gjennom dets PR-firma at det så på problemet og ikke hadde umiddelbar kommentar.