前不久,Windows 7 Beta中的UAC(用户帐户控制)被发现存在一个安全隐患。该隐患会让恶意软件在试图关闭UAC功能时,不会激活系统对用户进行安全提示。当时,微软对此表示,该安全隐患并不是漏洞,而是某种功能的一部分。他们同时还表示不会借此对Windows 7正式版进行修改。
然而,现在有Win 7测试者发现系统UAC中还存在另外一个安全漏洞,该漏洞远比此前还在人们激烈讨论中的隐患严重得多。据悉,此次发现的安全漏洞,容易导致恶意软件或者代码在Win 7默认安全设置下窃取管理员权限,甚至关闭整个UAC,并且UAC也不会对用户给出任何提醒。
为此,国外还特地有人发表了一个概念验证,可以让攻击者使用rundll32.exe——一个微软签署的应用程序——让恶意代码在电脑上执行窃取管理员权限。
这也就是说,使用Windows 7 Beta的计算机目前都存在安全风险。研究人员建议用户,如果你正在使用Windows 7,那么最好将UAC设置为最高级别以最大限度保护电脑安全。然而,这好像又回到了Vista中令人厌烦的UAC境地——使用起来过于繁琐,同时,这又再次验证了安全性和便利可用性之间的关系难以平衡。
虽然对于第一个被曝出的Windows 7 UAC漏洞微软予以了否认,但是对于这次曝出的漏洞微软却并没有发表任何评论。有安全人士也正对UAC问题密切关注微软的举措,也有一些人则对软件巨人如何回应此次事件持观望态度。另有传言称,微软近日会对这些问题发表一份官方声明并给出相应的解决办法。
针对连日来Windows 7出现的UAC漏洞,微软近日表示,将接受外界建议,并对该UAC默认设置进行部分调整和修订。
鉴于Vista的UAC所面临的窘困境地,微软在Windows7开发过程中,决定减少对用户改变设置的提醒频度。但最近一些计算机爱好者和安全专家表示,微软对Windows7用户账号控制默认设置进行改变后,将使用户面临安全风险。
对此微软的最初意见是,这些修订将不会对用户构成任何安全威胁。但是最近,微软的两位高管,高级副总裁乔恩·德瓦安(JonDeVaan)和史蒂文·西诺夫斯基(StevenSinofsky)称,将接受外部建议,对Windows7的UAC默认设置再次进行部分修改。他们还表示,Windows7 RC版发布后,如果用户对UAC默认设置进行调整,系统将会要求用户加以确认。
目前,这一事件引发了人们对是否存在更好的技术来取代UAC的探索。也再次印证了安全性和便利性之间关系难以平衡的道理。