مكروسوفت: [ويندووس] 7 أمن `بقة' `سمة'
مكروسوفت ألحّ يوم الإثنين أنّ ما دخيلات قد دعاوا "[سكريتي فلو]" في [ويندووس] 7 ليس بقة, غير أنّ عنيت الطريق ال [أبرت سستم] جديدة أن يعمل.
أسبوع متأخّرة, [رفل] [ريفرا], مطورة ل [فيرجني-بسد] شركة أنّ يبيع يؤمّن [مسّجنغ] برمجيّة إلى الولايات المتّحدة الأمريكيّة بدأ حكومة, و [زهنغ] طويلة, [بلوغّر] معروفة الذي يكتب "أنا شيء," يجادل أنّ تغير إلى مستعملة حساب تحكم ([أوك]) في [ويندووس] 7 استطاع كنت استغلّت بمهاجمات أن سرّا أعجزت السمة.
[أوك], أيّ [دبوت] في [ويندووس] [فيستا], أمن سمة أنّ يحضّ مستعملات لرضاءهم قبل مهام مثل برنامج و [دفيس دريفر] تجهيز يكون سمحت. انتقدت السمة يتلقّى يكون بصراحة منذ [فيستا] إطلاق, أوّلا ل [توو-فرقونت] [نغّينغ]. حتّى اعترف مكروسوفت [أوك] مشاكل [لست ر] عندما هو عيّن هو واحدة من الخمسة عاملات أنّ أسهم إلى [فيستا] بطيئة تبن خطوة.
في [ويندووس] 7, عدّلت [أوك] يتلقّى يكون أن يفرقع فوق ينبّه بعض غالبا. قال هو أيضا, [ريفرا] ويتوق, يتلقّى يكون غيّرت [س ثت] جانبا تقصير السمة يكون ثبتت إلى "لا يخطرني عندما أنا أجعل تغيرات إلى [ويندووس] عمليّة إعداد."
"يشحن [ويندووس] 7 الآن مع [أوك] يشكّل إلى جلد رسالة حثّ عندما مستعملات يغيّرون [ويندووس] عمليّة إعداد," لاحظ [ريفرا] في موقعة إلى [بلوغ] ه في يوم الجمعة. "بينما هذا أسلوب بعد يضمن تطبيقات عاديّة يستطيع لا [أفروريت] تسجيلك كاملة, مكروسوفت يجعل [بوو-بوو] في يسمح مستعملات أن يغيّر أيّ [ويندووس] يثبت دون أيّ رسالة حثّ.
"نعم, أنت يستطيع حتّى غيّرت [أوك] عمليّة إعداد, يسمح [[إينغ]] تطبيقات عهد حرّة في يعزّز أسلوب, عقب ال يتطلّب إستئناف," [ريفرا] يستمرّ.
الخطر, [ريفرا] وطويلة يقول, أنّ مهاجمات يستطيع بسهولة أعجزت [أوك] -- واحدة من مكروسوفت أكثر [هفيل-بروموتد] أمن سمات في المتأخّرة اثنان سنون -- دون يتضمّن المستعملة, و -- بما أنّ بتقصير [ويندووس] 7 لا يحذّر عندما هذا تغيرات يكون جعلت -- دون المستعملة معرفة.
خلق الزوج [برووف-وف-كنسبت] نص أنّ يعجز [أوك], وعيّن هو عبر إنترنت.
"حقّق نحن قريبا التضمنات حتّى مريضة من أصلا فكّر," قال طويلا. "أنت استطاع شغلت إستئناف عقب غيّرت [أوك] يتلقّى يكون, يضيف برنامج إلى المستعملة ملف ذو رأسمال مجازفة ولأنّ [أوك] يكون الآن باتّجاه آخر, شوط مع يشبع امتيازات إداريّة يتأهّب إلى [ورك] خراب."
مكروسوفت تعارض مع [ريفرا] واستنتاج [لونغ'س].
"ليس هذا جروحية," قال مكروسوفت ناطق بلسان في بريد إلكترونيّ. "القصد من التقصير تشكيل ال [أوك] أنّ لا يحصل مستعملات يحضّ عندما يجعل يغيّر إلى [ويندووس] عمليّة إعداد. يتضمّن هذا [] يغيّر ال [أوك] يحضّ [لفل]. "
The spokesman went on to say that the changes to UAC in Windows 7 were based on feedback Microsoft received from users, and noted that a script such as the one Rivera and Long created could only gain entry to a PC if the user downloaded and ran it, or if it was introduced as part of a broader attack. "In order for malicious code to have gotten on to the box," the spokesman continued, "something else [must have] already been breached, or the user has explicitly consented," the spokesman said.
Andrew Storms , director of security operations at nCircle Network Security Inc., took Microsoft's side in the discussion. "I would agree [that] it is functioning as designed," said Storms via instant messaging. "The word 'vulnerability' is probably misplaced in this case. [And] the point is that it had to have gotten on there and run by something...a user clicking, some third-party software, etc."
The Microsoft spokesman declined to answer a question about whether the company would alter UAC behavior in Windows 7 as it moves from beta to the next milestone, a release candidate. Long, however, noted that on the official feedback forum for Windows 7 beta testers, Microsoft has hinted that it will not change the UAC default settings.
In a follow-up entry posted Saturday , Long remained mystified by Microsoft's reluctance to address the issue. "What I do not understand is how they are treating the seriousness of this problem," he said. "Microsoft's argument is entirely based on the user, which I agree to an extent -- they have to download and execute such an application, but remember, this can be a low-privileged application so it would have no warnings whatsoever.
"How could a low-privileged application be[ing] able to turn off the entire privileged-applications security-layer not be a security flaw?" he asked.
Users can protect themselves by simply resetting UAC settings to the "Always notify" option. "Annoying, but safe," said Long.
To change UAC's settings in Windows 7, locate the control panel -- typing "UAC" in the Start menu's search field is the fastest way to bring it up -- then drag the slider up to the "Always notify" mark. Click OK.
Microsoft launched a public beta of Windows 7 three weeks ago, and recently extended the download deadline to Feb. 10.Popularity: 1%
Written by Sekhy!. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and windows 7 and Bugs and Microsoft.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
