Разработчики программного обеспечения из некоммерческой организации NeoSmart сообщили о том, что нашли способ обойти защиту, реализованную в Windows Vista при помощи функции User Account Control.

Они написали на своем сайте, что функция User Account Control сделана лишь для того, чтобы «дать ощущение безопасности». Поводом для такого заявление стала разработка программы iReboot, которая помогает пользователям, на компьютерах которых установлено несколько операционных систем, выбрать ту систему, которую они хотят загрузить, используя иконку в трее. После выполнения нехитрой команды работа Windows завершается, после чего компьютер перезагружается в выбранной ОС.

Функция UAC не давала программе iReboot запускаться при старте Windows, но разработчики разделили ее на две части. Одна часть, запущенная в фоновом режиме, имеет права на то, чтобы запускаться всякий раз при старте Windows без подтверждения администратора. Другая часть запускается как клиентская программа и взаимодействует с внутренним сервисом (первой частью).

Таким образом, утверждают разработчики, основная часть программы может быть запущена без необходимости подтверждения администратора. Поэтому теоретически вполне можно создать вредоносный код, который будет запускаться без всяких подтверждений.

Однако утверждения разработчиков из NeoSmart уже были раскритикованы многими пользователями. Некоторые из них написали, что в таком «обходе» UAC нет ничего удивительного и что система специально была разработана так, чтобы независимые создатели ПО могли делать программы для пользователей, не наделенных правами администратора.

Microsoft пока что ситуацию не прокомментировала, поэтому вопрос относительно того, является ли это багом или фичей, остается открытым.

Источник

Метки: , , , , , , , ,