Volgens hackster Joanna Rutkowska heeft Vista een gapend gat in zijn 'user account control'(UAC). Door het gat in de beveiliging is de standaard no-admin setting zo lek als een mandje. Met UAC draait een beheerder eigenlijk als een gelimiteerde gebruiker. Windows bepaalt dus wat goed voor de gebruiker is.
UAC gaat er in de no-admin setting automatisch van uit dat alle installatieprogramma's gestart worden met administrator-privileges.
Wanneer de gebruiker een installatieprogramma start, ziet hij een UAC-prompt waar hij kan kiezen om wel of niet door te gaan met de installatie. Indien de gebruiker de installatie door laat gaan, geeft hij de applicatie alle rechten voor toegang tot het bestandensysteem, de registry en de kernel-drivers.
Een woordvoerder van Microsoft liet weten dat het gat niet zo gevaarlijk is als Rutkowska schetst. Vista geeft programma's inderdaad toegang tot verschillende gedeeltes van het besturingssysteem, maar het is niet zo gemakkelijk als Rutkowska doet lijken. De woordvoerder gaf wel toe dat er een zwakheid zit in UAC maar dat dit een designkeuze is.
Rutkowska vindt Microsofts houding ten aanzien van het gat in UAC erg vreemd. Het is volgens haar onzin om alle implementatiefouten in UAC af te doen als ‘keuzes' en ze niet te zien als veiligheidslekken.
Meer informatie:
Windows Vista blog
Blog Joanna Rutkowska
Bron: blogs.zdnet.com