Le correctif UAC dans Windows 7 crée un trou de sécurité, Blogger dit

Une modification apportée par Microsoft à Windows 7 pour améliorer sa fonction de sécurité controversée du contrôle de compte d'utilisateur a rendu le nouveau système d'exploitation moins sécurisé, selon un blogueur qui suit Microsoft de près., une fonctionnalité qui a été introduite avec Windows Vista, pour le rendre plus convivial dans Windows 7. Mais le changement a permis "un remplacement simple mais ingénieux" qui désactive UAC sans aucune action de la part de l'utilisateur, selon le J'ai commencé Quelque chose écrit par Long Zheng, un observateur de longue date de Microsoft

Microsoft a ajouté l'UAC à Vista dans le but d'améliorer sa sécurité et de donner aux utilisateurs principaux d'un PC plus de contrôle sur ses applications et paramètres. L'UAC empêche les utilisateurs sans privilèges administratifs d'effectuer des modifications non autorisées sur un système. Mais à cause de la façon dont il a été configuré dans Vista, l'UAC empêche parfois même les utilisateurs autorisés d'accéder aux applications et aux fonctionnalités auxquelles ils devraient normalement avoir accès.

Cela se fait via une série d'invites qui demandent à l'utilisateur de vérifier privilèges, et il peut leur demander de taper un mot de passe pour effectuer une tâche. Cela peut interrompre le flux de travail des personnes, même pendant certaines tâches banales, sauf si elles sont définies en tant qu'administrateur local. Les invites UAC sont devenues si problématiques qu'Apple les a même usurpées dans une publicité télévisée, et Microsoft a promis d'améliorer la fonctionnalité de Windows 7.

Windows 7 est toujours en version bêta et ne devrait pas être livré avant la fin de l'année. Microsoft a publié la version bêta plus tôt ce mois-ci et décrit les modifications apportées à l'UAC sur le blog Engineering Windows 7.

Les modifications révisent le paramètre par défaut de l'UAC, et c'est là le risque de sécurité, selon Zheng. Dans son message, le paramètre par défaut de UAC dans Windows 7 est de "M'avertir uniquement lorsque des programmes tentent d'apporter des modifications à mon ordinateur" et "Ne m'avertit pas lorsque j'apporte des modifications aux paramètres Windows."

-party programme et un paramètre Windows avec une certification de sécurité, et les éléments du panneau de contrôle sont signés avec ce certificat afin qu'ils n'émettent pas d'invites si un utilisateur modifie les paramètres du système, écrit-il.

Cependant, dans Windows 7 est considéré comme un "changement de paramètres de Windows", selon Zheng. Ceci, couplé avec le nouveau niveau de sécurité UAC par défaut, signifie qu'un utilisateur ne sera pas invité si des modifications sont apportées à UAC, y compris si elle a été désactivée.

Avec quelques raccourcis clavier et du code, Zheng dit qu'il peut désactiver UAC à distance

"Avec l'aide de mon développeur Rafael Rivera, nous avons créé une preuve de concept entièrement fonctionnelle dans VBScript (ce serait tout aussi simple en C ++ EXE). - émuler quelques entrées au clavier - sans inviter l'UAC », écrit-il. "Vous pouvez télécharger et essayer par vous-même ici, mais gardez à l'esprit que cela désactive réellement l'UAC."

Zheng a également posté ce qu'il a dit être une solution de contournement pour le problème sur son blog. son cabinet de relations publiques qu'il examinait le problème et n'a pas eu un commentaire immédiat.