[artem_1989]

Microsoft отрицает уязвимость UAC в Windows 7

Я не совсем уверен, что я и Microsoft говорит об одном и том же, но вчера я получил по электронной почте послание в ответ на заметку об уязвимости UAC в Windows 7, о которой я поведал несколькими днями раньше. Microsoft продолжает настаивать, что никакой уязвимости нет, что поведение системы полностью соответствует запланированному и что никаких изменений в финальную версию Windows 7 внесено не будет.


Далее

Итак, цитирую полученное от Microsoft сообщение:

"Это не уязвимость. По умолчанию UAC настроен так, чтобы при попытке внести изменения в настройки системы диалога UAC не возникало. Сюда входит и настройка самого UAC, когда пользователь решает, как и когда будут выводиться предупреждения.

Microsoft получила огромное количество откликов и замечаний, касающихся порядка вывода и количества предупреждений UAC, и изменила поведение системы в соответствии с этими откликами.

UAC предназначен для того, чтобы пользователи без административных прав могли спокойно запускать программы именно как пользователи, "стандартные пользователи", как мы это называем. Такая возможность повышает безопасность использования ПО и снижает общую стоимость владения им (ТСО — Total Cost of Ownership, общая стоимость владения или содержания, напр., парка ПК. — прим. перев.).

Изменить такое поведение без ведома пользователя можно только в случае, если вредоносный код уже запущен в системе."

Единственной причиной того, что я предал огласке ситуацию с поведением UAC, является озабоченность тех, кто в частном порядке тестирует бета-версию Windows 7. Им и раньше не нравилось, как Microsoft относится к их беспокойству по тому или иному поводу, но, похоже, ничего в этом смысле не изменилось.

Чего я никак не могу понять, так это почему в Редмонде так легкомысленно относятся к указанной ситуации. Результат запуска сценария на Visual Basic, который мы с Рафаэлем получили в качестве доказательства наличия уязвимости, очевиден настолько, насколько это вообще возможно. Зловредное приложение может, в отличие от нашего, оказаться совершенно бесшумным и невидимым, вдобавок, может оказаться способным загружать дополнительные вредоносные программы, а после перезагрузки ПК вообще запустится с полными правами администратора.

Доводы Microsoft основаны на том — и в этой части я с ними согласен — что речь идет о пользователе, а он обязан иметь намерение загрузить и запустить какую-либо программу, чтобы она была загружена и запущена. Однако таким "пользователем" может вполне оказаться программа со стандартными пользовательскими правами на загрузку и запуск других приложений, и в этом случае никаких предупреждений со стороны системы не последует.

Как можно не считать уязвимостью возможность для приложения с ограниченным доступом полностью отключать контроль доступа к свойствам безопасности системы для других приложений? Повторяю — приложение само по себе имеет ограничения по доступу к свойствам безопасности! Кажется, некоторые люди просто не понимают, о чем речь.

Если бы Microsoft учла мои замечания, то на последней линии обороны, перед тем, как UAC будет (без предупреждения!) отключен приложением с ограниченным доступом, у пользователя появился бы еще один шанс не допустить отключения. Один шанс все же лучше, чем ни одного.

Один из читателей попросил меня уточнить, в каких условиях упомянутая уязвимость проявляется. Для этого пользователь должен состоять в группе "Администраторы", а не "Обычные (стандартные) пользователи". В последнем случае система попросит пользователя ввести пароль администратора. В свое оправдание — почему я уверен в том, что мы имеем дело с серьезной уязвимостью — скажу следующее: по умолчанию пользователь, инициирующий установку, работу и настройку системы, и в Windows Vista, и в Windows 7 состоит в группе "Администраторы". Уверен, что большинство домашних пользователей и в дальнейшем продолжают работу именно под этой учетной записью.

Добавлено через 12 минут

Джорджтаун запрещает устанавливать бета-версию Windows 7

В связи с высокой популярностью бета-версии Windows 7 один из престижнейших университетов Вашингтона, округ Колумбия, выпустил специальное предупреждение, запрещающее студентам и преподавателям университета устанавливать бета-версию Microsoft Windows 7 на учебные компьютеры.
Далее>>>

В своем предупреждении, информационный отдел Джорджтаунского университета вторит рекомендациям Microsoft, заявляя, что бета-версия Windows 7 может отключать антивирусные продукты и приводить к нарушениям в работе принтеров, видеокарт и других компонентов компьютера.

"Информационная служба университета не будет поддерживать Windows 7, поскольку мы принципиально не поддерживаем бета-версии программного обеспечения. Установив систему и столкнувшись с какой-нибудь из вышеупомянутых проблем, вы окажетесь лишены какой-либо поддержки" - говорится в предупреждении.

Специалисты информационной службы объяснили, что поддержка Windows 7 будет обеспечена сразу после ее релиза. По прогнозам это произойдет в конце этого или в начале 2010 года. А до 10 февраля можно бесплатно загрузить бета-версию непосредственно с сайта Microsoft.

Предупреждение специалистов призвано избавить информационную службу от проблем, которые появятся, если студенты или сотрудники решат вдруг оценить в работе бета-версию Windows 7. Многие пользователи, недовольные производительностью Windows Vista, с радостью переходят на бета-версию Windows 7. Хорошим примером служит публикация одного из инженеров Intel, который сообщил, что настолько доволен новой ОС, что использует бета-версию Windows 7 в качестве основной системы на своих домашних системах и поставил бы ее и на рабочий, если бы позволил IT-отдел компании. Бета-версия Windows 7 оказалась настолько популярной, что Microsoft была вынуждена снять ограничение на количество участников в тестировании и продлить программу на три недели до 10 февраля.


Источник: http://www.informationweek.com