Correzione UAC in Windows 7 Crea buco di sicurezza, dice

Una modifica apportata da Microsoft in Windows 7 per migliorare la controversa funzionalità di sicurezza del Controllo account utente ha reso il nuovo sistema operativo meno sicuro, secondo un blogger che segue da vicino Microsoft.

Microsoft ha apportato la modifica a Controllo dell'account utente, una funzionalità introdotta con Windows Vista, per renderla più user-friendly in Windows 7. Ma il cambiamento ha permesso "una semplice ma geniale override" che disabilita l'UAC senza alcuna azione da parte dell'utente, secondo il Ho iniziato un blog scritto da Long Zheng, un osservatore di lunga data di Microsoft.

Microsoft ha aggiunto UAC a Vista per migliorare la sicurezza e offrire alle persone che sono gli utenti principali di un PC un maggiore controllo sulle sue applicazioni e impostazioni. UAC impedisce agli utenti privi di privilegi amministrativi di apportare modifiche non autorizzate a un sistema. Ma a causa di come è stato impostato in Vista, il controllo dell'account utente a volte impedisce anche agli utenti autorizzati di accedere alle applicazioni e alle funzioni a cui dovrebbero normalmente accedere.

Fa ciò attraverso una serie di messaggi che richiedono all'utente di verificare privilegi e potrebbe richiedere loro di digitare una password per eseguire un'attività. Questo può interrompere il flusso di lavoro delle persone, anche durante alcune attività banali, a meno che non siano impostate come Amministratore locale. I prompt UAC sono diventati così problematici che Apple li ha persino falsificati in uno spot televisivo, e Microsoft ha promesso di migliorare la funzionalità di Windows 7.

Windows 7 è ancora in beta e non è previsto l'invio entro la fine dell'anno o all'inizio. Microsoft ha rilasciato la beta all'inizio di questo mese e ha delineato le modifiche al controllo dell'account utente sul blog di Engineering Windows 7.

Le modifiche modificano l'impostazione predefinita del controllo account utente, ed è qui che risiede il rischio per la sicurezza, secondo Zheng.

Come ha spiegato nel suo post, l'impostazione predefinita di Controllo dell'account utente in Windows 7 è "Notifica solo quando i programmi tentano di apportare modifiche al mio computer" e "Non notificarmi quando apporto modifiche alle impostazioni di Windows".

UAC distingue tra un terzo -party programma e un'impostazione di Windows con una certificazione di sicurezza e gli elementi del pannello di controllo sono firmati con questo certificato in modo che non emettano prompt se un utente modifica le impostazioni di sistema, ha scritto.

Tuttavia, in Windows 7, modifica UAC è considerato un "cambiamento delle impostazioni di Windows", secondo Zheng. Questo, insieme al nuovo livello di sicurezza UAC predefinito, significa che un utente non verrà richiesto se vengono apportate modifiche al controllo dell'account utente, incluso se è stato disabilitato.

Con alcune scorciatoie da tastiera e un po 'di codice, Zheng ha detto che può disabilitare UAC in remoto senza la conoscenza dell'utente finale.

"Con l'aiuto del mio side-kick per sviluppatori Rafael Rivera, abbiamo creato un proof-of-concept completamente funzionante in VBScript (sarebbe altrettanto facile in C ++ EXE) per farlo - emula alcuni input da tastiera - senza richiedere l'UAC ", ha scritto. "Puoi scaricarlo e provarlo da solo qui, ma tieni presente che in realtà disabilita il controllo dell'account utente."

Zheng ha pubblicato anche ciò che ha detto è una soluzione al problema nel suo blog.

Microsoft ha detto venerdì la sua ditta di pubbliche relazioni che stava esaminando il problema e non ha avuto un commento immediato.