UAC w Windows 7 złamany, Microsoft nie widzi problemu
User Account Control miał być jedną z największych nowości wzakresie bezpieczeństwa Visty, która mimo swej skuteczności do tejpory cieszy się opinią funkcjonalności irytującej dlazaawansowanych użytkowników oraz niezrozumiałej dla tych niecomniej. By zaadresować te uwagi, Microsoft postanowił przebudować mechanizmUAC w Windows 7 zmieniając go tak, by ograniczyć liczbę potwierdzeńze strony użytkownika - w domyślnej konfiguracji UAC prosi nas opotwierdzenie wyłącznie wtedy, kiedy zmian w systemie dokonujejakiś program zewnętrzny. Wszystkie podpisane odpowiednio przezMicrosoft przy pomocy specjalnego certyfikatu aplikacje, komponentyi kontrolki Windows dokonują podniesienia poziomu uprawnieńautomatycznie, bez interakcji z użytkownikiem. Jak donosi serwis NeoWin, okazuje się jednak że taka konstrukcjamechanizmu UAC pozwala na bardzo proste obejście tegozabezpieczenia - wystarczy prosta emulacja ciągu naciśniętych naklawiaturze przycisków, by za pośrednictwem kontrolki opodniesionym poziomie uprawnień bez interakcji użytkownika wyłączyćUAC całkowicie. Rafael Rivera opublikował na swoim blogu praktyczny przykładwykorzystania tej teoretycznej możliwości w postacinieskomplikowanego VBskryptu. Betatesterzy Windows 7 zgłaszali już ten problem oficjalnymikanałami, jednak póki co przedstawiciele Microsoftu twierdzili, żejest to zachowanie całkowicie zgodne z zaplanowaną koncepcją ("bydesign"). Serwis Neowin kontaktował się z przedstawicielamikorporacji własnymi kanałami i póki co nie otrzymał żadnejodpowiedzi. Pytanie, czy kod opublikowany przez Rafaela Riveręzmieni coś w tej materii.
30.01.2009 11:33