Znajdź zawartość

Serwis NeoWin informuje o poważnym problemie z mechanizmem UAC (User Account Control) w systemie Windows 7 Beta 1. Okazuje się, że można go w prosty sposób obejść. UAC był jednym z powodów licznych skarg użytkowników na Windows Vista. W standardowej konfiguracji pytał bowiem wielokrotnie użytkownika o zgodę na przeprowadzenie wielu operacji w systemie. Jako że większość użytkowników nie zadała sobie trudu, by dostosować UAC do swoich potrzeb, mechanizm wydawał im się bardzo uciążliwy. Dlatego też w Windows 7 Microsoft zmienił go tak, by zmniejszyć liczbę wymaganych potwierdzeń. Teraz UAC prosi o potwierdzenie operacji tylko wtedy, gdy zmian w konfiguracji komputera próbuje dokonać jakiś zewnętrzny program. Za program zewnętrzny uznawany jest taki, który nie posiada specjalnego cyfrowego certyfikatu. Rafael Rivera znalazł sposób na obejście tak skonfigurowanego UAC. Wystarczy zarazić komputer prostym skryptem, który będzie emulował naciśnięcie przez użytkownika kilku klawiszy, które spowodują wyłączenie UAC. Betatesterzy informowali już Microsoft o problemie. Na razie firma utrzymuje, że to nie błąd, a działanie UAC zostało celowo zaprojektowane w ten sposób. Nie wiadomo zatem, czy w kolejnych edycjach Windows 7 cokolwiek zostanie z tym zrobione.

Microsoft przyznaje, że teoretycznie możliwe jest zdalne wydanie systemowi Windows Vista poleceń głosowych za pomocą np. pliku audio umieszczonego na stronie WWW. Firma uspokaja jednak, że scenariusz taki jest mało prawdopodobny, a atak nie jest groźny. By do niego doszło opcja wydawania komend głosowych musiałaby najpierw zostać skonfigurowana i aktywowana przez użytkownika. Ponadto musiałyby być włączone głośniki i mikrofon. System mógłby zareagować na proste pojedyncze komendy, takie jak "kopiuj”, "usuń”, "zamknij system”. Microsoft twierdzi, że scenariusz taki jest mało prawdopodobny i nie niesie ze sobą zagrożenia, gdyż zastosowana technologia UAC (User Account Control) uniemożliwia wydawanie głosem komend, dostępnych administratorowi systemu. Ze zdaniem Microsoftu nie zgadza się Symantec. Przedsiębiorstwo to mówi, że jeden z uczestników listy mailingowej Daily Dave poinformował, że za pomocą komend głosowych udało mu się pobrać i uruchomić plik pochodzący z Internetu. Koncern z Redmond bada sprawę, nie informuje jednak kiedy i jak ma zamiar zabezpieczyć system.