Před nedávnem jsme informovali o tom, že společnost Symantec analyzuje testovací verze Windows Vista za účelem nalezení bezpečnostních chyb. Přinesli jsme i reakci Microsoftu, která se nesla v duchu zamítání a tvrzení, že měřit kvalitu produktu kvalitou rané testovací verze je přinejmenším předčasné. Symantec však provedl další výzkum a tentokrát se zaměřil na funkci User Account Control, kterou jsme rozebrali na stránkách Živě před několika dny.
Symantec prostřednictvím rozličných technik dosáhl eskalace uživatelských práv. Matthew Conover, vedoucí výzkumník přes bezpečnost Symantecu, k tomu říká: „Objevili jsme řadu mezer v implementaci (UAC), které stále umožňují ohrožení celého počítače“. Symantec prováděl tyto pokusy na únorové testovací verzi Windows Vista.
V ní šlo k převzetí kontroly nad počítačem využít například prohlížeč Microsoft Internet Explorer 7. Útočník musí prostřednictvím technologie ActiveX podstrčit do napadeného počítače soubor, s jehož využitím může být následně vytvořena bezpečnostní díra.
Microsoft se k věci vyjádřil prakticky stejným komentářem jako v minulém případě. Ve skutečnosti již v aktuálních verzí Windows Vista je chování UAC i ActiveX změněno směrem k větší bezpečnosti. Microsoft dodává, že k tomuto druhu zneužití technologie ActiveX je ve Windows Vista potřeba mít administrátorská oprávnění, čemuž však právě funkce User Account Control předchází.
Zdroj: CNet News
