Punto informatico Network

Centro sicurezza PC, sicurezza

Windows 7: pericolo UAC

04/02/2009
- A cura di
Mondo Windows - Microsoft modifica User Account Control in Windows 7 per renderlo meno invasivo, ma a causa di questa modifica sorge un problema che potrebbe portare alla disattivazione dello funzione all'insaputa dell'utente.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

windows (1) , pericolo (1) , uac (1) , windows 7 (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 177 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

L'implementazione di User Account Control presentata da Windows Vista è stata soggetta a pesanti critiche: secondo molti, l'utente doveva infatti esprimere la volontà di proseguire anche per le azioni più banali.

Microsoft ha accolto le critiche degli utenti, ed in Windows 7 ha apportato modifiche al Controllo Account Utente per renderlo meno fastidioso. L'effetto collaterale di queste modifiche è l'introduzione di un problema di natura progettuale, che darebbe la possibilità di disattivare UAC senza il consenso dell'utente.

In Windows 7 gli eventi che vengono notificati all'utente riguardano soltanto le modifiche al computer effettuate da software di terze parti, mentre le modifiche al sistema da parte dell'utente non vengono mostrate.

UAC, tramite l'impiego di alcuni certificati, è in grado di riconoscere le applicazioni interne dai software di terze parti. Il problema è che disabilitare il Controllo Account Utente è considerata una modifica del sistema da parte dell'utente, e quindi non viene segnalata.

La scoperta di tutto ciò è opera di Long Zheng di IStartedSomething.com, che in post sul suo blog la descrive nel dettaglio. Lo stesso afferma che sfruttando questa vulnerabilità è effettivamente possibile disabilitare l'UAC senza interpellare l'utente.

Per dimostrare la veridicità della sua tesi, Zheng ha sviluppato, insieme al celeberrimo hacker Rafael Rivera, un software in VBScript che, simulando alcuni input da tastiera, è in grado di disabilitare lo User Account Control senza conferma dell'utente.

L'unico modo per mettersi al sicuro dal problema è utilizzare un account con diritti limitati, o configurare UAC di modo che mostri un avviso qualunque azione venga intrapresa.

Uacbrokenwindows7.jpg

Se non si ha intenzione di tenere UAC disabilitato, sarà meglio utilizzare una delle due soluzioni appena descritte, visto che Microsoft, dopo essere stata informata dal ricercatore, ha dichiarato che è così by design, e il comportamento non verrà modificato neanche nella versione finale del sistema operativo.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 133
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.11