Το UAC Fix στα Windows 7 δημιουργεί τρύπα ασφαλείας, Blogger λέει

Μια αλλαγή που έκανε η Microsoft στα Windows 7 για να βελτιώσει την αμφιλεγόμενη της δυνατότητα ελέγχου λογαριασμού χρήστη έχει αφήσει το νέο λειτουργικό σύστημα λιγότερο ασφαλές, σύμφωνα με έναν blogger που ακολουθεί στενά τη Microsoft

Η Microsoft έκανε την αλλαγή στο UAC, μια λειτουργία που εισήχθη με τα Windows Vista, για να γίνει πιο φιλική προς το χρήστη στα Windows 7. Αλλά η αλλαγή επέτρεψε "μια απλή, αλλά έξυπνη παράκαμψη" που απενεργοποιεί το UAC χωρίς καμία ενέργεια εκ μέρους του χρήστη, σύμφωνα με την Ξεκινήσαμε Κάτι blog που γράφτηκε από τον μακροπρόθεσμο παρατηρητή της Microsoft Long Zheng

Η Microsoft πρόσθεσε το UAC στα Vista σε μια προσπάθεια να βελτιώσει την ασφάλειά της και να δώσει στους ανθρώπους που είναι οι κύριοι χρήστες του υπολογιστή περισσότερο έλεγχο των εφαρμογών και των ρυθμίσεων. Το UAC εμποδίζει τους χρήστες χωρίς δικαιώματα διαχειριστή να κάνουν μη εξουσιοδοτημένες αλλαγές σε ένα σύστημα. Αλλά λόγω του τρόπου με τον οποίο δημιουργήθηκε το Vista, η UAC εμποδίζει μερικές φορές ακόμα και εξουσιοδοτημένους χρήστες να έχουν πρόσβαση σε εφαρμογές και λειτουργίες στις οποίες πρέπει κανονικά να έχουν πρόσβαση.

Αυτό επιτυγχάνεται μέσω μιας σειράς προειδοποιήσεων οθόνης που ζητούν από τον χρήστη να επαληθεύσει δικαιώματα και μπορεί να τους ζητήσει να πληκτρολογήσουν έναν κωδικό πρόσβασης για να εκτελέσουν μια εργασία. Αυτό μπορεί να διακόψει τη ροή εργασίας των ανθρώπων, ακόμη και κατά τη διάρκεια κάποιων καθημερινών εργασιών, εκτός και αν οριστεί ως τοπικός διαχειριστής. Οι προτροπές του UAC έγιναν τόσο προβληματικές ώστε η Apple τους έσφαξε ακόμη και σε μια τηλεοπτική διαφημιστική και η Microsoft υποσχέθηκε να βελτιώσει τη λειτουργία στα Windows 7.

Τα Windows 7 είναι ακόμα σε beta και δεν αναμένεται να μεταφερθούν μέχρι αργά το τρέχον έτος ή νωρίς. Η Microsoft κυκλοφόρησε τη beta αυτή νωρίτερα αυτό το μήνα και περιέγραψε τις αλλαγές στο UAC στο blog των Engineering Windows 7.

Οι αλλαγές αναθεωρούν την προεπιλεγμένη ρύθμιση του UAC και εκεί βρίσκεται ο κίνδυνος ασφαλείας σύμφωνα με τον Zheng.

Όπως εξήγησε στη θέση του, η προεπιλεγμένη ρύθμιση του UAC στα Windows 7 είναι να "ειδοποιείστε μου μόνο όταν τα προγράμματα προσπαθούν να κάνουν αλλαγές στον υπολογιστή μου" και "Μην ειδοποιείτε όταν πραγματοποιώ αλλαγές στις ρυθμίσεις των Windows".

Η UAC διακρίνει ένα τρίτο -party και μια ρύθμιση των Windows με πιστοποίηση ασφάλειας και τα στοιχεία του πίνακα ελέγχου έχουν υπογραφεί με αυτό το πιστοποιητικό, ώστε να μην εκδίδουν προτροπές αν ο χρήστης αλλάξει τις ρυθμίσεις συστήματος, έγραψε.

Ωστόσο, στα Windows 7, η αλλαγή του UAC θεωρείται "αλλαγή στις ρυθμίσεις των Windows", σύμφωνα με τον Zheng. Αυτό, σε συνδυασμό με το νέο προεπιλεγμένο επίπεδο ασφάλειας UAC, σημαίνει ότι ο χρήστης δεν θα σας ζητηθεί εάν γίνουν αλλαγές στο UAC, ακόμα και αν ήταν απενεργοποιημένο.

Με λίγες συντομεύσεις πληκτρολογίου και μερικούς κώδικες, ο Zheng δήλωσε ότι μπορεί να απενεργοποιήσει το UAC εξ αποστάσεως χωρίς να γνωρίζει ο τελικός χρήστης.

"Με τη βοήθεια του side-kick του προγραμματιστή Rafael Rivera, καταλήξαμε σε μια πλήρως λειτουργική απόδειξη της ιδέας στο VBScript (θα ήταν εξίσου εύκολο στο C ++ EXE) να το κάνουμε αυτό - μιμούνται μερικές εισόδους πληκτρολογίου - χωρίς να ζητούν UAC ", έγραψε. "Μπορείτε να το κατεβάσετε και να το δοκιμάσετε μόνοι σας εδώ, αλλά να έχετε κατά νου ότι πραγματικά απενεργοποιεί το UAC".

Ο Zheng επίσης δημοσίευσε αυτό που είπε ότι είναι ένας τρόπος αντιμετώπισης του προβλήματος στο blog του.

Η Microsoft δήλωσε την Παρασκευή την εταιρία δημοσίων σχέσεών της ότι έβλεπε το πρόβλημα και δεν είχε άμεσο σχόλιο.