Windows 7: Změny v řízení uživatelských účtů přináší nová rizika

2. 2. 2009

Sdílet

V říjnu loňského roku se objevily informace o tom, že Windows 7 mají mimo jiné přinést vylepšení v řízení uživatelských účtů (UAC, user account control), nicméně se změnou se objevila i nová bezpečnostní rizika.

Pojetí UAC ve Vistě se dočkalo obrovské kritiky z mnoha stran a i sami zástupci Microsoftu jej označili ve vlastním blogu za nejvíce kontroverzní část tohoto operačního systému. Firma Apple si pak dokonce ze UAC dělala legraci v jednom ze svých televizních spotů. Řízení uživatelských účtů mělo uživatelům bez potřebných práv zabránit dělat změny v nainstalovaných aplikacích, ovšem v důsledku často komplikovalo život i uživatelům s administrátorskými oprávněními a zaplavovalo jej mnoha dotazy a hláškami vyžadujícími potvrzení. Více informací najdete v článku na SecurityWorldu Microsoft vylepší řízení uživatelských účtů z Visty.

Nové Windows 7 pak měly přinést zjednodušení UAC tak, aby tato funkce byla mnohem více uživatelsky přívětivá, ovšem podle informací testerů tím došlo i k vytvoření bezpečnostních děr. Podle bloggera Long Zhenga, který dlouhodobě sleduje aktivity Microsoftu, je nyní možné ve Windows 7 UAC jednoduše obejít. Změna se týká výchozího nastavení UAC, které je nastaveno ve Windows 7 na upozorňování jen v případě, že některé aplikace se snaží učinit změnu v uživatelském počítači, informuje Zheng a dodává, že díky tomu uživatel není informován napříkad v případě, že dojde ke změnám v samotném řízení uživatelských účtů včetně vypnutí této funkce.

Zhend tvrdí, že toho je možné dosáhnout na dálku s využitím jednoduchého kódu bez vědomí samotného uživatele a jemu se to údajně ve spolupráci s Rafaelem Reverou podařilo pomocí jednoduchého programu, který emuloval několik klávesových zkratek sloužících k vypnutí UAC na uživatelském počítači.

Microsoft byl o tomto problému informován, ovšem zatím se k němu nevyjádřil. Nicméně vzhledem k tomu, že Windows 7 jsou ještě ve vývoji, je pravděpodobné, že před dokončením finálního kódu dojde v této oblasti ke změnám a jen se tím potvrzuje význam veřejného testování, které umožní upozornit na problémy, kterých by si jen limitovaná skupina interních testerů nemusela povšimnout.