Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Hiba a Vista felhasználói jogosultság-kezelésében

Bodnár Ádám, 2007. március 01. 13:07
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az eEye biztonsági cég olyan hibát fedezett fel a Windows Vistában, amelynek kihasználásával a rendszerbe belépett felhasználó jogosultságai kiterjeszthetők. A probléma a Vista egyik fontos biztonsági újítását, a User Account Controlt érinti.

hirdetés
Az eEye biztonsági cég olyan hibát fedezett fel a Windows Vistában, amelynek kihasználásával a rendszerbe belépett felhasználó jogosultságai kiterjeszthetők. A probléma a Vista egyik fontos biztonsági újítását, a User Account Controlt érinti.

"Hiba van a Windows Vistában, amelyet kihasználva a helyi felhasználó jogkörét rendszerszintűre terjesztheti ki" -- áll az eEye weboldalán. A cég már értesítette a hibáról a Microsoftot, a redmondiak saját bevallásuk szerint vizsgálják a bejelentést. Az eEye egyelőre nem hozott nyilvánosságra részleteket a hibáról, ezzel meg kívánják várni a hibajavítást, így aztán nem tudni, pontosan milyen problémáról van szó, a cég csupán annyit árult el hogy "puffertúlcsorduláshoz hasonló" jelenségen alapul.

A User Account Control talán a Windows Vista egyik legfontosabb biztonsági újítása. A UAC lehetővé teszi a felhasználó számára hogy adminisztrátori jogosultságok nélkül használja a PC-t, azonban ha olyan szoftvert akar futtatni amely megköveteli az adminisztrátori jogosultságokat, akkor nem kell kijelentkeznie és adminisztrátorként belépnie, elég beírnia az adminisztrátori jelszót.

A Microsoft adatai szerint az otthoni felhasználók 90 százaléka, a vállalati dolgozóknak pedig 60-80 százaléka adminisztrátori jogosultságokkal használja a gépét, többnyire kényszerből, mivel számos szoftver csak ilyen beállítások mellett képes futni. Ez azonban biztonsági szempontok miatt aggályos, mivel az adminisztrátor által indított szoftverek elérhetik a kritikus rendszerfájlokat és beállításokat. A most felfedezett sérülékenységet és egy lehetséges távoli hozzáférést kihasználva támadók rendszerszintű jogosultságot szerezhetnek és ugyanúgy "garázdálkodhatnak" mintha csak egy Windows XP-n lennének.

Érdekes módon a Microsoft nem biztonsági szolgáltatásként tekint a User Account Controlra, éppen ezért az egyszerűbb használhatóság kedvéért számos "kiskaput" épített a rendszerbe, amelyek nem feltétlenül programozási hiba miatt vannak jelen. Mark Russinovich, a Microsoft biztonsági szakértője szerint a User Account Controlra azért van szükség, hogy "végre olyan világban éljünk amikor alapesetben mindenki csak egyszerű felhasználói jogosultságokkal rendelkezik és a szoftvereket is ennek figyelembe vételével írják".

A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.