Софтодром   
Windows Программы для Windows
Linux Программы для Linux
Android Приложения для Android
iOS Приложения для iPhone

Новости  Форумы

Безопасность в угоду удобству: уязвимость в бета-версии Windows 7



Новости    Windows 7


Источник: http://www.istartedsomething.com

Эта статья посвящена всем "техническим журналистам", которые постоянно высказывали свое недовольство по поводу назойливости UAC в Windows Vista. Изменения в User Account Control (UAC) в Windows 7 Beta сделали его менее назойливым, зато открыли дорогу вредоносному ПО, которое с легкостью отключает UAC без вмешательства пользователя.

Для начала хотелось бы прояснить две вещи. Во-первых, я изначально собирался немного пошантажировать Microsoft информацией о данной уязвимости, но в условиях экономического кризиса Microsoft вряд ли бы смогла по достоинству оплатить столь ценную информацию. Поэтому я решил поделиться ей совершенно бесплатно. Во-вторых, я написал эту статью не столько из-за реальной угрозы безопасности - ее очень просто устранить, - сколько из-за реакции Microsoft на информацию об этом баге на сайте Microsoft Connect. Мой отзыв был закрыт со статусом "согласно дизайну", а это означает, что ошибка не будет устранена. Поэтому мне в голову пришла бредовая мысль опубликовать результаты моих изысканий в надежде на то, что Microsoft все же обратит внимание на уязвимость и устранит ее к финальной версии Windows 7.

Теперь поговорим об изменениях UAC в Windows 7. По умолчанию UAC в Windows 7 установлен на опцию "Уведомлять только в случае, когда приложения пытаются внести изменения в мой компьютер" и "Не уведомлять меня, когда я вношу изменения в настройки Windows". Разница между сторонним приложением и настройками Windows заключается в наличии сертификата безопасности. Приложения/апплеты, управляющие настройками Windows, подписаны специальным сертификатом Microsoft. Поскольку все элементы панели управления подписаны таким сертификатом, при внесении изменений в системные настройки диалога UAC не появляется.

Ахиллесовой пятой такого подхода является тот факт, что смена настроек UAC расценивается как "изменение настроек Windows". Поэтому при определенном стечении обстоятельств и вместе с новым уровнем безопасности UAC, при его отключении подтверждающего диалога не появится. Даже при полном отключении UAC.

Конечно, нельзя расценивать эту ошибку как программную уязвимость в коде (особенно в случае, если вы самостоятельно отключаете UAC), но, по сути, таким образом можно отключить UAC без участия пользователя и делать с компьютером, все, что вздумается. Решение здесь простое, ведь всю процедуру можно осуществить с помощью лишь горячих клавиш, так почему бы не написать приложение, эмулирующее последовательность нажатий клавиш клавиатуры?

С помощью моего хорошего товарища Рафаэля Ривьеры (Rafael Rivera) мне удалось создать на VBScript PoC-приложение (абб. от Proof-of-concept - доказательство концепции), которое эмулирует последовательность нажатия нескольких клавиш. Вы можете загрузить его и самостоятельно оценить, помня при этом о том, что приложение отключает UAC.

Позднее мы пришли к пониманию того, что последствия могут быть хуже, чем изначально предполагалось. Можно запланировать перезагрузку после смены настроек UAC, добавить в автозагрузку любое приложение и запустить его с полными привилегиями администратора.

Избавиться от этой проблемы довольно-таки просто: сделать обязательным использование режима Secure Desktop при любых настройках UAC, независимо от текущего режима. И хотя это никогда не защищало пользователей, щелкающих "Yes" без раздумий, такое решение является более безопасным. Зная о том, что Microsoft близка к завершению работы над Windows 7, я решил еще раз воззвать к ее разуму.

До того, как Microsoft решит исправить эту досадную уязвимость, если вообще решит, пользователям бета-версии рекомендуется установить уровень уведомлений UAC на "Always Notify", который уведомит вас в случае смены настроек. Раздражительно, зато безопасно.

Перевод: deeper2k


Автор: TheVista.ru
Дата:

Новое: Windows 7
10.10.2017 22:45

Для Windows 7 выпущено новое накопительное обновление

Для Windows 7 выпущено новое ежемесячное накопительное обновление - KB4041681


12.09.2017 23:37

Выпущено ежемесячное обновление для Windows 7

Microsoft выпустила для Windows 7 очередное ежемесячное обновление, исправляющее ошибки и повышающее уровень безопасности системы


15.03.2017 01:07

Для Windows 7 выпущен ежемесячный накопительный пакет обеспечения безопасности KB4012215

Microsoft выпустила для Windows 7 ежемесячный накопительный пакет обеспечения безопасности KB4012215


18.05.2016 02:33

Выпущен накопительный пакет обновлений для Windows 7 SP1

Компания Microsoft начала распространение накопительного пакета обновлений для Windows 7 SP1. Аналогичный накопительный пакет обновлений выпущен и для Windows Server 2008 R2


09.07.2014 00:32

Основная фаза поддержки Windows 7 завершится в январе 2015 года

Основная фаза поддержки операционной системы Windows 7 завершится 13 января 2015 года


Популярное: Windows 7
20.12.2009 02:21

Windows 7: Виртуальный WiFi в действии

Включение и использование в Windows 7 режима "Виртуальный WiFi", позволяющего превратить любой компьютер или ноутбук в полноценную точку доступа


02.05.2009 04:17

Системные требования Windows 7

Опубликован окончательный вариант минимальных системных требований Windows 7, а также собрана русская версия Windows 7 RC


13.01.2010 00:41

Windows 7: GodMode

В Windows 7 обнаружена полезная опция GodMode (режим бога)


11.01.2009 19:29

Windows 7: восстановление Панели быстрого запуска

Порядок восстановления в Windows 7 Beta "исчезнувшей" Панели быстрого запуска


03.11.2009 19:41

Windows 7 : Три способа установить Windows 7 с диска обновления

Microsoft по-прежнему как может усложняет процесс чистой установки upgrade-версии Windows 7, но есть и хорошие новости...



Ищете, где скачать бесплатные программы?

Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
Все рубрики статей (6131 / 117):


Программы для Windows | Приложения для Android | Приложения для iPhone | Программы для Linux
Статистика | Рейтинги | Авторам | Рассылки
Copyright © 1999-2024 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта