Sikkerhedsfirmaet eEye har opdaget et hul i Windows Vista, som kan udnyttes til øge bruger-privilegierne ud over det tiltænkte niveau.
Fejlen handler om måden, hvorpå Windows behandler brugerens sikkerheds-niveau, User Account Control, UAC, som blev introduceret med Vista.
Meningen med UAC er at reducere den skade, et masseangreb fra orme eller lignende kan forårsage, ved at give den almene bruger begrænsede rettigheder. Det er meget almindeligt i mange operativ-systemer.
Det nyopdagede brist kan sammen med andre sårbarheder reelt gøre UAC nyttesløst og dermed give brugeren adgang til privilegier på system-niveau, vurderer eEye, som rapporterede fejlen til Microsoft i januar.
eEye vil dog ikke oplyse nærmere detaljer, før en rettelse af fejlen er blevet tilgængelig. Men ifølge eEyes medstifter Marc Maiffret, så svarer fejlen til buffer overflow.
UAC er den mest synlige ændring i Vistas sikkerhedssystem og er blevet kritiseret for sin påtrængende facon.
Microsoft mener dog ikke, at der er tale om et hul i sikkerheden, fordi de ikke anser UAC som væsentlig fornyelse. Desuden efterlod Microsoft bevidst huller i UAC, så det var lettere at benytte.
Mark Russinovich, en teknisk medarbejder fra Microsofts platform- og serviceafdeling, skrev på en blog tidligere på måneden, at UAC ikke definerer nye sikkerhedsafgrænsninger og ikke er tænkt som en sikkerhedsbarriere.
Han beskrev i stedet, at formålet med UAC er at vænne brugere til, at alle som udgangspunkt skal fungere som almindelige brugere, og at al software skal skrives på baggrund af den forudsætning.
