Windows 7: nie ma luki w usłudze UAC
Microsoft zaprzeczył, jakoby w usłudze UAC ( User Account Control ), odpowiedzialnej za zapewnienie użytkownikowi większej ochrony, znajdowała się luka bezpieczeństwa. O takiej podatności informował w zeszłym tygodniu jeden z blogerów.
Przypomnijmy: usługa UAC po raz pierwszy pojawiła się w Windows Vista. Jej zadaniem było zwiększenie bezpieczeństwa komputera. Każda zmiana w zakresie ustawień czy instalacji nowych programów musiała zostać dodatkowo zatwierdzona przez użytkownika. Mimo tego, iż opcja ta była łatwa do wyłączenia, to jednak wśród użytkowników wywołała ona niemałe kontrowersje. Głównie dlatego, że zamiast usprawniać pracę z systemem, powodowała jej utrudnienie oraz wydłużała wykonywanie wielu czynności.
W zeszłym tygodniu Long Zheng napisał na swoim blogu, że Microsoft zmieniając opcje bezpieczeństwa w usłudze UAC doprowadził do powstania luki bezpieczeństwa. Polega ona na tym, że przy standardowych ustawieniach usługi użytkownik nie jest informowany w momencie, kiedy jest ona całkowicie wyłączana. Równocześnie Zheng poinformował, że udało mu się zdalnie wyłączyć całą usługę za pomocą odpowiedniego kodu i kilku skrótów klawiszowych. Dzięki temu użytkownik może zostać pozbawiony zabezpieczenia bez jakiejkolwiek wiedzy na ten temat. Właśnie to, zdaniem wieloletniego blogera i obserwatora poczynań Microsoftu, jest największym niebezpieczeństwem w nowej wersji usługi UAC.
Rzecznik Microsoftu powiedział, że "taki sposób działania usługi UAC nie oznacza jej podatności na atak z zewnątrz". Stwierdził on również, że "takie ustawienia domyślne zostały specjalnie w taki sposób dobrane, aby użytkownicy nie skarżyli się więcej na ich sposób działania".
Microsoft: poprawimy UAC w Windows 7
Kilka dni temu informowaliśmy o złamaniu mechanizmu Kontroli Konta Użytkownika (UAC) w Windows 7. Gigant z Redmond początkowo zbagatelizował sprawę i powiedział, że funkcja pozostanie w obecnej postaci. W końcu się jednak przełamał i na blogu Engineering Windows 7 poinformował, że w wersji RC (Release Candidate) 1, UAC doczeka się kilku istotnych usprawnień.
Nowy UAC został zaprojektowany tak, aby był mniej uciążliwy. I w rzeczywistości tak jest. Liczba komunikatów jest znacznie mniejsza, niż w Viście. Nie ma jednak róży bez kolców. Okazuje się, że można go dezaktywować prostym skryptem. Możliwe to jest, bo nowy UAC nie pyta o zgodę, gdy czynność wykonywana jest na koncie użytkownika, który ma stosowne uprawnienia w systemie.
Zespół odpowiedzialny za rozwój "siódemki" zapowiedział, że wraz z wersją RC, UAC doczeka się dwóch istotnych zmian. Po pierwsze mechanizm sterujący funkcją będzie działał jako osobny proces, który wymagać będzie specjalnych uprawnień. Drugą istotną nowością będzie to, że jeśli zechcesz zmienić poziom UACa, to będzie musiał wyrazić zgodę... z użyciem UACa.
Więcej informacji:http://blogs.msdn.com/e7/archive/2009/02/05/uac-feedback-and-follow-up.aspx (http://blogs.msdn.com/e7/archive/2009/02/05/uac-feedback-and-follow-up.aspx)(w j. ang.)
źródło : pcworld.pl (http://pcworld.pl)