Vista: Fallo crítico en su User Account Control
A pesar de la 'aparente tranquilidad' de los responsables de Microsoft sobre la seguridad de Windows Vista, siguen apareciendo vulnerabilidades. La última de ellas, realmente crítica. Vista va bien.
Según la hacker que detectó el fallo, Joanna Rutkowska, este agujero de seguridad implica que la medida de seguridad que Microsoft ha implantado con su UAC no funciona.
Rutkowska le comunicó a ZDNet que el UAC asume de forma automática que todos los programas de instalación deberían ser ejecutados con derechos de administrador.
Y cuando ejecutas dichos programas, te encuentras con una ventana de UAC que te advierte de este hecho, y te da la opción de instalarlo o bien de detener su ejecución.
De modo que si los 'clientes' de Vista se bajan el juego Tetris, tendrán la oportunidad de concederle a este programa derechos totales de acceso al sistema de ficheros, al registro y a los controladores del núcleo. Los desarrolladores de Microsoft no se plantearon en ningún momento si el Tetris debería tener acceso a los controladores del núcleo o no.
En su blog, llamado 'Invisble Things', Rutkowska afirma que debería darse una opción a los usuarios para confiar totalmente en el software, o bien tan solo añadir una carpeta en C:\Archivos de programa y ofrecer acceso a algunas claves d eregistro bajo HKLMSoftware, sin más. Esta última es una opción mucho más eficiente que estaba disponible en XP y que ha sido deshabilitada en Vista.
Un técnico de seguridad de Microsoft descartó dicho fallo, afirmando que la forma en la que Vista ofrece acceso a distintas partes del sistema operativo no era tan simple. Admitió que esta concepción tenía sus debilidades, pero que era una 'opción de diseño'.
Rutowska dijo a ZDNet que no estaba contenta con la actitud altiva de Microsoft al declarar que esos errores de 'implementación' de UAC no eran considerados como fallos de seguridad.
Más información tanto aquí como aquí
Suscribirse a:
Comentarios de la entrada (Atom)
0 comments