Купить компьютер с Windows в Украине

Microsoft отрицает уязвимость UAC в Windows 7

Я не совсем уверен, что я и Microsoft говорит об одном и том же, но вчера я получил по электронной почте послание в ответ на заметку об уязвимости UAC в Windows 7, о которой я поведал несколькими днями раньше. Microsoft продолжает настаивать, что никакой уязвимости нет, что поведение системы полностью соответствует запланированному и что никаких изменений в финальную версию Windows 7 внесено не будет.

Итак, цитирую полученное от Microsoft сообщение:

"Это не уязвимость. По умолчанию UAC настроен так, чтобы при попытке внести изменения в настройки системы диалога UAC не возникало. Сюда входит и настройка самого UAC, когда пользователь решает, как и когда будут выводиться предупреждения.

Microsoft получила огромное количество откликов и замечаний, касающихся порядка вывода и количества предупреждений UAC, и изменила поведение системы в соответствии с этими откликами.

UAC предназначен для того, чтобы пользователи без административных прав могли спокойно запускать программы именно как пользователи, "стандартные пользователи", как мы это называем. Такая возможность повышает безопасность использования ПО и снижает общую стоимость владения им (ТСО — Total Cost of Ownership, общая стоимость владения или содержания, напр., парка ПК. — прим. перев.).

Изменить такое поведение без ведома пользователя можно только в случае, если вредоносный код уже запущен в системе."

Единственной причиной того, что я предал огласке ситуацию с поведением UAC, является озабоченность тех, кто в частном порядке тестирует бета-версию Windows 7. Им и раньше не нравилось, как Microsoft относится к их беспокойству по тому или иному поводу, но, похоже, ничего в этом смысле не изменилось.

Чего я никак не могу понять, так это почему в Редмонде так легкомысленно относятся к указанной ситуации. Результат запуска сценария на Visual Basic, который мы с Рафаэлем получили в качестве доказательства наличия уязвимости, очевиден настолько, насколько это вообще возможно. Зловредное приложение может, в отличие от нашего, оказаться совершенно бесшумным и невидимым, вдобавок, может оказаться способным загружать дополнительные вредоносные программы, а после перезагрузки ПК вообще запустится с полными правами администратора.

Доводы Microsoft основаны на том — и в этой части я с ними согласен — что речь идет о пользователе, а он обязан иметь намерение загрузить и запустить какую-либо программу, чтобы она была загружена и запущена. Однако таким "пользователем" может вполне оказаться программа со стандартными пользовательскими правами на загрузку и запуск других приложений, и в этом случае никаких предупреждений со стороны системы не последует.

Как можно не считать уязвимостью возможность для приложения с ограниченным доступом полностью отключать контроль доступа к свойствам безопасности системы для других приложений? Повторяю — приложение само по себе имеет ограничения по доступу к свойствам безопасности! Кажется, некоторые люди просто не понимают, о чем речь.

Если бы Microsoft учла мои замечания, то на последней линии обороны, перед тем, как UAC будет (без предупреждения!) отключен приложением с ограниченным доступом, у пользователя появился бы еще один шанс не допустить отключения. Один шанс все же лучше, чем ни одного.

Один из читателей попросил меня уточнить, в каких условиях упомянутая уязвимость проявляется. Для этого пользователь должен состоять в группе "Администраторы", а не "Обычные (стандартные) пользователи". В последнем случае система попросит пользователя ввести пароль администратора. В свое оправдание — почему я уверен в том, что мы имеем дело с серьезной уязвимостью — скажу следующее: по умолчанию пользователь, инициирующий установку, работу и настройку системы, и в Windows Vista, и в Windows 7 состоит в группе "Администраторы". Уверен, что большинство домашних пользователей и в дальнейшем продолжают работу именно под этой учетной записью.

Источник: http://thevista.ru/

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru
1 Star2 Stars3 Stars4 Stars5 Stars (1 голосов, среднее: 5.00 из 5)
Загрузка ... Загрузка ...

Оставить комментарий

CAPTCHA image