Correção UAC no Windows 7 cria um buraco de segurança, diz Blogger

Uma mudança que a Microsoft fez no Windows 7 para melhorar seu controverso recurso de segurança de Controle de Conta de Usuário deixou o novo sistema operacional menos seguro, segundo um blogueiro que acompanha de perto a Microsoft.

Microsoft fez a mudança para o UAC, um recurso que foi introduzido com o Windows Vista, para torná-lo mais fácil de usar no Windows 7. Mas a mudança permitiu "uma substituição simples, mas engenhosa" que desativa o UAC sem qualquer ação por parte do usuário, de acordo com o I Started Something blog escrito pelo antigo observador da Microsoft Long Zheng.

A Microsoft adicionou o UAC ao Vista em um esforço para melhorar sua segurança e dar às pessoas que são as principais usuárias de um PC mais controle sobre seus aplicativos e configurações. O UAC impede que usuários sem privilégios administrativos façam alterações não autorizadas em um sistema. Mas por causa de como foi configurado no Vista, o UAC, às vezes, impede que até mesmo usuários autorizados consigam acessar aplicativos e recursos aos quais normalmente deveriam ter acesso.

Ele faz isso por meio de uma série de prompts que pedem ao usuário para verificar privilégios, e pode exigir que eles digitem uma senha para executar uma tarefa. Isso pode interromper o fluxo de trabalho das pessoas, mesmo durante algumas tarefas rotineiras, a menos que elas sejam definidas como Administrador Local. As solicitações do UAC tornaram-se tão problemáticas que a Apple até as falsificou em um comercial de televisão, e a Microsoft prometeu melhorar o recurso no Windows 7.

O Windows 7 ainda está em versão beta e não deve ser lançado até o final deste ano ou no início do próximo. A Microsoft lançou a versão beta no início deste mês e destacou as mudanças no UAC no blog Engineering Windows 7.

As alterações revisam a configuração padrão do UAC, e é aí que está o risco de segurança, de acordo com Zheng.

em seu post, a configuração padrão do UAC no Windows 7 é "Notificar-me somente quando os programas tentam fazer alterações no meu computador" e "Não notificar quando faço alterações nas configurações do Windows".

O UAC distingue um terço Um programa de terceiros e uma configuração do Windows com uma certificação de segurança e itens do painel de controle são assinados com este certificado para que eles não emitam prompts se um usuário alterar as configurações do sistema, ele escreveu.

No entanto, no Windows 7, alterar o UAC é considerado uma "mudança nas configurações do Windows", segundo Zheng. Isso, juntamente com o novo nível de segurança UAC padrão, significa que um usuário não será avisado se forem feitas alterações no UAC, incluindo se ele foi desativado.

Com alguns atalhos de teclado e algum código, Zheng disse que pode desativar o UAC remotamente sem o conhecimento do usuário final.

"Com a ajuda do meu colaborador Rafael Rivera, nós criamos uma prova de conceito totalmente funcional no VBScript (seria tão fácil em C ++ EXE) fazer isso - emular algumas entradas de teclado - sem solicitar o UAC ", escreveu ele. "Você pode baixar e testar por si mesmo aqui, mas lembre-se de que ele realmente desativa o UAC."

Zheng também postou o que disse ser uma solução para o problema em seu blog.

sua firma de relações públicas que estava investigando o problema e não teve um comentário imediato.