Szerző: Bodnár Ádám

2007. március 1. 13:07

Hiba a Vista felhasználói jogosultság-kezelésében

Az eEye biztonsági cég olyan hibát fedezett fel a Windows Vistában, amelynek kihasználásával a rendszerbe belépett felhasználó jogosultságai kiterjeszthetők. A probléma a Vista egyik fontos biztonsági újítását, a User Account Controlt érinti.

Az eEye biztonsági cég olyan hibát fedezett fel a Windows Vistában, amelynek kihasználásával a rendszerbe belépett felhasználó jogosultságai kiterjeszthetők. A probléma a Vista egyik fontos biztonsági újítását, a User Account Controlt érinti.

"Hiba van a Windows Vistában, amelyet kihasználva a helyi felhasználó jogkörét rendszerszintűre terjesztheti ki" -- áll az eEye weboldalán. A cég már értesítette a hibáról a Microsoftot, a redmondiak saját bevallásuk szerint vizsgálják a bejelentést. Az eEye egyelőre nem hozott nyilvánosságra részleteket a hibáról, ezzel meg kívánják várni a hibajavítást, így aztán nem tudni, pontosan milyen problémáról van szó, a cég csupán annyit árult el hogy "puffertúlcsorduláshoz hasonló" jelenségen alapul.

A User Account Control talán a Windows Vista egyik legfontosabb biztonsági újítása. A UAC lehetővé teszi a felhasználó számára hogy adminisztrátori jogosultságok nélkül használja a PC-t, azonban ha olyan szoftvert akar futtatni amely megköveteli az adminisztrátori jogosultságokat, akkor nem kell kijelentkeznie és adminisztrátorként belépnie, elég beírnia az adminisztrátori jelszót.

A Microsoft adatai szerint az otthoni felhasználók 90 százaléka, a vállalati dolgozóknak pedig 60-80 százaléka adminisztrátori jogosultságokkal használja a gépét, többnyire kényszerből, mivel számos szoftver csak ilyen beállítások mellett képes futni. Ez azonban biztonsági szempontok miatt aggályos, mivel az adminisztrátor által indított szoftverek elérhetik a kritikus rendszerfájlokat és beállításokat. A most felfedezett sérülékenységet és egy lehetséges távoli hozzáférést kihasználva támadók rendszerszintű jogosultságot szerezhetnek és ugyanúgy "garázdálkodhatnak" mintha csak egy Windows XP-n lennének.

Érdekes módon a Microsoft nem biztonsági szolgáltatásként tekint a User Account Controlra, éppen ezért az egyszerűbb használhatóság kedvéért számos "kiskaput" épített a rendszerbe, amelyek nem feltétlenül programozási hiba miatt vannak jelen. Mark Russinovich, a Microsoft biztonsági szakértője szerint a User Account Controlra azért van szükség, hogy "végre olyan világban éljünk amikor alapesetben mindenki csak egyszerű felhasználói jogosultságokkal rendelkezik és a szoftvereket is ennek figyelembe vételével írják".

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról