Επιχειρηματικό λογισμικό

Ο blogger της Microsoft, ο οποίος κάλεσε για πρώτη φορά την προσοχή σε μια ευπάθεια ασφαλείας στη λειτουργία ελέγχου λογαριασμού χρηστών (UAC) των Windows 7, ισχυρίζεται ότι εξακολουθεί να υπάρχει και ότι η Microsoft δεν θα το διορθώσει, Ο Long Zheng, ο οποίος γράφει το δημοφιλές blog "I Started Something", δημοσίευσε ένα online βίντεο που δείχνει πως το UAC, ένα χαρακτηριστικό ασφαλείας που παρουσιάστηκε για πρώτη φορά στα Windows Vista και ορίζει τα δικαιώματα των χρηστών σε έναν Η / Υ Windows 7, μπορεί να εκμεταλλευτεί.

Ο Zheng επεσήμανε επίσης ένα εκπαιδευτικό έγγραφο από τον τεχνικό συνεργάτη της Microsoft Mark Russinovich που προσπαθεί να εξηγήσει την UAC, λέγοντας ότι αναφέρεται σαφώς ότι η Microsoft δεν έχει πρόθεση να καθορίσει μια αλλαγή που έκανε στο UAC στα Windows 7 που αφήνει το νέο λειτουργικό σύστημα λιγότερο ασφαλές, επειδή επιτρέπει σε κάποιον να απενεργοποιήσει μακριά τη δυνατότητα χωρίς να γνωρίζει ο χρήστης.

Η Zheng επεσήμανε για πρώτη φορά αυτή την αλλαγή και την τρωτότητας τον Φεβρουάριο. Εκείνη την εποχή είπε ότι η νέα προεπιλεγμένη ρύθμιση UAC "standard user", η οποία δεν ενημερώνει τον χρήστη όταν γίνονται αλλαγές στις ρυθμίσεις των Windows, είναι ο κίνδυνος ασφάλειας. Μια αλλαγή στο UAC θεωρείται ως αλλαγή σε μια ρύθμιση των Windows, οπότε ένας χρήστης δεν θα ειδοποιηθεί εάν είναι απενεργοποιημένος ο UAC, τον οποίο ο Zheng δήλωσε ότι ήταν σε θέση να κάνει απομακρυσμένα με κάποιες συντομεύσεις πληκτρολογίου και κώδικα.

Το UAC υπήρξε αμφιλεγόμενο δεδομένου ότι η Microsoft την παρουσίασε στα Windows Vista για να βελτιώσει την ασφάλειά της και να δώσει στους ανθρώπους που είναι οι κύριοι χρήστες του υπολογιστή περισσότερο έλεγχο των εφαρμογών και των ρυθμίσεων. Τα χαρακτηριστικά εμποδίζουν τους χρήστες χωρίς δικαιώματα διαχειριστή να κάνουν μη εξουσιοδοτημένες αλλαγές σε ένα σύστημα.

Στο έγγραφο του Russinovich αναγνωρίζει ότι οι παρατηρήσεις του Zheng και άλλων σχετικά με το πώς το λογισμικό τρίτων κατασκευαστών μπορεί να χρησιμοποιήσει το χαρακτηριστικό γνώρισμα για να αποκτήσει διοικητικά δικαιώματα σε έναν υπολογιστή είναι ακριβές

Ωστόσο, σύμφωνα με το post blog του Zheng, ο Russinovich φαινόταν να απορρίπτει αυτή τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα και να μην προσφέρει καμία λύση για αυτό, επειδή είπε ότι υπάρχουν και άλλοι τρόποι για να μπείτε στο σύστημα μέσω προγραμμάτων UAC. > "Η παρατήρηση που ακολουθεί είναι ότι το κακόβουλο λογισμικό θα μπορούσε να αποκτήσει διοικητικά δικαιώματα χρησιμοποιώντας τις ίδιες τεχνικές", έγραψε ο Russinovich. "Από τη σκοπιά του κακόβουλου λογισμικού, η προεπιλεγμένη λειτουργία των Windows 7 δεν είναι περισσότερο ή λιγότερο ασφαλής από τη λειτουργία Always Notify (" λειτουργία Vista " ") και το κακόβουλο λογισμικό που αναλαμβάνει δικαιώματα διαχειριστή εξακολουθεί να σπάει όταν εκτελείται στην προεπιλεγμένη λειτουργία των Windows 7.

Η Microsoft δεν ανταποκρίθηκε επισήμως σε αίτημα σχολιασμού της αξίωσης και της ανάρτησης βίντεο του Zheng. Ωστόσο, ένας εκπρόσωπος της εταιρείας δήλωσε ιδιωτικά ότι ο Zheng μπορεί να έχει παρερμηνεύσει το έγγραφο του Russinovich.

«Το θέμα μου φαίνεται ότι δυσκολεύει περισσότερο το κακόβουλο λογισμικό να εισέλθει στο σύστημα, βοηθώντας τον τελικό χρήστη να πάρει καλύτερες αποφάσεις μέσω του ζητά να πάρουν και να έχουν όλο και περισσότερους χρήστες να τρέχουν σε τυπικό τρόπο χρήστη σε σχέση με τη λειτουργία admin (επειδή η λειτουργία admin είναι αυτό που εκθέτει το μηχάνημά σας σε κινδύνους) ", δήλωσε ο εκπρόσωπος που ζήτησε να μην κατονομαστεί μέσω ηλεκτρονικού ταχυδρομείου.

Η Microsoft αντιμετώπισε την αλλαγή στην προεπιλεγμένη ρύθμιση του UAC, όταν ο Zheng έκανε την πρώτη του ευπάθεια, λέγοντας ότι η λειτουργία δεν μπορεί να εκμεταλλευτεί αν δεν υπάρχει ήδη κακόβουλο κώδικα στο μηχάνημα και "κάτι άλλο έχει ήδη παραβιαστεί".

Η Microsoft δήλωσε ότι τα Windows 7, που βρίσκονται σήμερα σε έκδοση προεπισκόπησης, θα είναι διαθέσιμα τόσο στις επιχειρήσεις όσο και στους καταναλωτές στις 22 Οκτωβρίου. Αναμένεται να κυκλοφορήσει το λειτουργικό σύστημα, στο οποίο ο τελικός κώδικας θα είναι τελικός, στα τέλη του επόμενου μήνα.