MICROSOFT ha dichiarato che il suo “sicurissimo” sistema operativo Vista ha un enorme buco nel sistema di sicurezza, precisamente nell'UAC (User Account Control).
Secondo l'hacker che l'ha trovato, Joanna Rutkowska, il buco significa che il leggendario setting di default “no-admin” non è più un meccanismo di sicurezza. Compreso?
La Rutkowska ha dichiarato a ZD Net che l'User Account Control automaticamente dà per scontato che tutti i programmi di setup vadano eseguiti con privilegi da amministratore.
Quando esegui uno di questi programmi, si apre un prompt dell'UAC tramite il quale puoi acconsentire a conferire privilegi da amministratore al programma oppure decidere di non eseguirlo. State ancora seguendo?
Così se un utente si scarica il gioco del Tetris, le possibilità che ha sono decidere se consentirgli tutti i diritti di accesso ai file di sistema, al registro e al kernel, oppure decidere di non eseguire il programma. In nessun momento in Microsoft si sono chiesti perchè mai l'installer del Tetris dovrebbe avere il permesso di accedere al kernel.
Nel suo blog 'Invisible Things', la Rutkowska sostiene che si dovrebbe garantire all'utente la possibilità di scegliere se concedere tutti i privilegi al software o semplicemente il diritto di aggiungere una cartella nella directory C:\Programmi e qualche comando in HKLMSoftware e niente più. Questa opzione, molto più sicura, era possibile in XP ma è stata eliminata da Vista.
Un responsabile della sicurezza di Microsoft ha smentito l'esistenza del buco, sostenendo che il modo in cui Vista permette l'accesso a diverse parti del sistema operativo non è così semplice. Ha ammesso che si tratta di una debolezza, ma ha dichiarato che è stata una “scelta di architettura”.
Rutkowska ha detto a ZD Net di non essere contenta delle dichiarazioni di Microsoft riguardo ai potenziali rischi, dichiarazioni che sostengono la tesi che i bug presenti dell'UAC non sono da considerarsi come “security bugs”.


Articolo originale di: Nick Farrell del 14/2
Fonte: The Inquirer