Blogger: Ciri-ciri UAC Windows 7 Masih Kerentanan

Blogger blog yang pertama yang memberi perhatian kepada kelemahan keselamatan dalam ciri Kawalan Akaun Pengguna Windows (UAC) yang mendakwa ia masih wujud dan bahawa Microsoft tidak akan memperbaikinya, bahkan sebagai syarikat

Long Zheng, yang menulis blog "Saya Bermula Sesuatu", telah memaparkan video dalam talian yang menunjukkan bagaimana UAC, ciri keselamatan yang diperkenalkan pada Windows Vista yang menetapkan keistimewaan pengguna pada PC Windows 7, boleh dieksploitasi.

Zheng juga menunjuk kepada dokumen pengajaran oleh Microsoft Technical Fellow Mark Russinovich yang cuba menjelaskan UAC, mengatakan dengan jelas menyatakan bahawa Microsoft tidak berniat mengubah perubahan yang dibuat di UAC di Windows 7 yang meninggalkan OS baru kurang terjamin kerana ia membolehkan seseorang jauh dari mengaktifkan ciri ini tanpa mengetahui pengguna.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Zheng pertama menunjukkan perubahan ini dan kerentanan pada bulan Februari. Pada masa itu beliau berkata bahawa tetapan lalai "standard pengguna" UAC yang baru, yang tidak memberitahu pengguna apabila perubahan dibuat kepada tetapan Windows, adalah di mana risiko keselamatan terletak. Perubahan kepada UAC dilihat sebagai perubahan kepada tetapan Windows, jadi pengguna tidak akan diberitahu jika UAC dinyahdayakan, yang mana Zheng berkata dia mampu melakukan jauh dengan pintasan dan kod kekunci keyboard.

UAC telah menjadi kontroversi ciri sejak Microsoft memperkenalkannya dalam Windows Vista untuk meningkatkan keselamatannya dan memberikan pengguna yang merupakan pengguna utama PC yang lebih banyak mengawal aplikasi dan tetapannya. Ciri-ciri ini menghalang pengguna tanpa keistimewaan pentadbiran daripada membuat perubahan yang tidak dibenarkan ke sistem.

Dalam dokumen Russinovich, beliau mengakui bahawa pemerhatian Zheng dan orang lain tentang bagaimana perisian pihak ketiga boleh menggunakan ciri untuk mendapatkan hak pentadbiran ke PC adalah tepat.

Walau bagaimanapun, menurut jawatan blog Zheng, Russinovich sepertinya menolak kemungkinan untuk melaksanakan kod jauh dan tidak membetulkannya kerana dia mengatakan bahawa ada cara lain untuk malware masuk ke dalam sistem melalui UAC.

"Pemerhatian susulan adalah bahwa malware dapat memperoleh hak administratif menggunakan teknik yang sama," tulis Russinovich. "Sekali lagi, ini benar, tetapi seperti yang saya katakan sebelum ini, malware boleh menjejaskan sistem melalui peningkatan yang tinggi juga. Dari perspektif malware, mod lalai Windows 7 tidak lebih atau kurang selamat daripada mod Sentiasa Berikan (" mod Vista "), dan perisian hasad yang menganggap hak pentadbiran masih akan pecah ketika dijalankan dalam mod lalai Windows 7."

Microsoft tidak menjawab secara rasmi permintaan untuk mengulas mengenai tuntutan dan pos video Zheng. Bagaimanapun, jurucakap syarikat berkata secara peribadi bahawa Zheng mungkin salah menafsirkan dokumen Russinovich.

"Perkara ini seolah-olah saya untuk menjadikannya lebih sukar untuk perisian perosak untuk mendapatkan sistem di tempat pertama, dengan membantu pengguna akhir membuat keputusan yang lebih baik melalui meminta mereka mendapatkan lebih banyak dan lebih banyak pengguna berjalan dalam mod pengguna biasa berbanding dalam mod admin (kerana mod admin adalah yang memperlihatkan mesin anda menjadi risiko), "kata jurucakap itu, yang meminta tidak diberi nama melalui e-mel.

Microsoft telah berdiri dengan perubahan kepada tetapan lalai UAC ketika Zheng membuat tuntutan kerentanan pertama, mengatakan bahawa ciri itu tidak dapat dieksploitasi kecuali ada kod jahat yang berjalan pada mesin dan "sesuatu yang lain telah dilanggar."

Microsoft telah mengatakan bahawa Windows 7, yang kini dalam pelepasan pratonton, akan tersedia untuk kedua-dua perniagaan dan pengguna pada 22 Oktober. Pembebasan untuk pembuatan OS, di mana semua kod akan muktamad, dijangka lewat bulan depan <.