תיקון UAC ב- Windows 7 יוצר חור אבטחה, Blogger אומר

שינוי שעשתה מיקרוסופט ב- Windows 7 כדי לשפר את מאפיין האבטחה השנוי במחלוקת של בקרת חשבון המשתמש, השאיר את מערכת ההפעלה החדשה פחות מאובטחת, לדברי בלוגר שעוקב אחר מיקרוסופט מקרוב.

מיקרוסופט עשתה את השינוי ל- UAC, תכונה שהוכנס עם Windows Vista, כדי להפוך אותו יותר ידידותי למשתמש ב- Windows 7. אבל השינוי אפשר "לעקוף פשוט אך גאוני" זה משבית UAC ללא כל פעולה מצד המשתמש, על פי התחלתי בלוג משהו שנכתב על ידי longtime מיקרוסופט Watcher לונג ג 'נג.

מיקרוסופט הוסיפה UAC כדי Vista במאמץ לשפר את האבטחה שלה ולתת לאנשים שהם המשתמשים העיקריים של המחשב יותר שליטה על היישומים וההגדרות שלה. UAC מונע ממשתמשים ללא הרשאות ניהול לבצע שינויים לא מורשים במערכת. אבל בגלל איך זה היה להגדיר ב- Vista, UAC לפעמים מונע ממשתמשים מורשים אפילו להיות מסוגל לגשת ליישומים ותכונות הם בדרך כלל יש גישה.

הוא עושה זאת באמצעות סדרה של בקשות המסך לבקש מהמשתמש לאמת הרשאות, והוא עשוי לדרוש מהם להקליד סיסמה כדי לבצע משימה. זה יכול להפריע זרימת עבודה של אנשים, אפילו במהלך כמה משימות ארציים, אלא אם כן הם מוגדרים מנהל מקומי. ההנחיות של UAC נעשו כל כך בעייתיות עד שאפילו אפל זינקה עליהן בפרסומת טלוויזיה, ומיקרוסופט הבטיחה לשפר את התכונה ב- Windows.

Windows 7 עדיין נמצא בגרסת ביתא ולא צפוי לספוג עד סוף השנה או בתחילת השנה הבאה. מיקרוסופט פרסמה את גרסת הביטא בתחילת החודש ותיארה את השינויים ב- UAC על הבלוג של Windows 7.

השינויים משנים את הגדרת ברירת המחדל של UAC, וכאן מסתכן הסיכון הביטחוני, לפי ג'נג. בתפקידו, הגדרת ברירת המחדל של UAC ב- Windows 7 היא "הודע לי רק כאשר תוכניות מנסות לבצע שינויים במחשב שלי" ו- "אל תודיע לי כאשר אני מבצע שינויים בהגדרות Windows."

UAC מבחין בין שליש תוכנית עם צד אחד עם הגדרת Windows עם אישור אבטחה, ופריטי לוח הבקרה נחתמים עם אישור זה, כך שהם אינם מנפיקים הנחיות אם המשתמש משנה את הגדרות המערכת, הוא כתב.

עם זאת, ב- Windows 7, שינוי UAC נחשב "שינוי הגדרות Windows", על פי ג 'נג. זה, יחד עם רמת האבטחה החדשה של ברירת המחדל של UAC, פירושו שמשתמש לא יתבקש אם השינויים יבוצעו ב- UAC, כולל אם הוא הושבת.

עם כמה קיצורי מקשים וקוד כלשהו, ​​אמר ג'נג שהוא יכול להשבית את UAC מרחוק ללא ידיעתו של משתמש הקצה.

"בעזרתם של המפתחים הצדדיים שלי, רפאלה ריברה, הגענו עם רעיון הוכחה של פונקציונליות מלאה ב- VBScript (יהיה קל באותה מידה ב- C ++ EXE) לעשות זאת - לחקות כמה תשומות מקלדת - מבלי להציג UAC, "הוא כתב. "אתה יכול להוריד ולנסות את זה בעצמך כאן, אבל יש לזכור כי למעשה זה להשבית UAC."

Zheng גם פרסם מה שהוא אמר הוא פתרון לעקיפת הבעיה בבלוג שלו.

מיקרוסופט אמרה ביום שישי דרך חברת יחסי הציבור שלה, שהיא בחנה את הבעיה ולא היתה לה תגובה מיידית