Artikel top billede

Alvorligt sikkerhedshul i Windows 7 Beta

UAC-funktionen i Windows 7 får systemet til at stå pivåbent, lyder en samlet kritik fra både danske og udenlandske sikkerhedseksperter.

I Vista er funktionen blevet kritiseret sønder og sammen.

Derfor har Microsoft besluttet at ændre User Account Control (UAC) i Windows 7.

Allerede før Windows 7 er sendt på gaden, er den udskældte funktion igen løbet ind i kritik.

En række sikkerhedseksperter advarer nemlig om et massivt sikkerhedshul i betaversionen af Windows 7.

UAC i Windows 7 åbner for alvorlige angreb, lyder det blandt andet fra sikkerhedsblogger Long Zheng.

Hans vurdering bakkes op af en dansk sikkerhedsekspert.

Mange huller

UAC blev introduceret i forbindelse med Windows Vista, og sikkerhedsfunktionen gør, at en bruger med de rigtige rettigheder skal godkende applikationer, inden de kan afvikles.

Funktionen er blevet kraftigt kritiseret, fordi mange brugere anser godkendelsesproceduren for irriterende.

Den kritik har Microsoft taget til sig, og i Windows 7 har software-firmaet ændret funktionen således, at man kan forudindstille UAC til fire forskellige niveauer.

Den beslutning angriber sikkerhedsblogger Long Zheng nu på sin blog.

Han påpeger, at det er muligt at skrive skadelig kode, som kan ændre på indstillingsniveauerne uden, at brugeren bemærker det.

Sammen men udvikleren Rafael Rivera har Long Zheng også skabt et proof of concept, som gør det muligt at slå UAC helt fra på en ekstern maskine.

Problemet er ifølge en dansk sikkerhedsekspert helt reelt.

"Der er skabt et Visual Basic-script, der kan afvikles på maskinen og derigennem ændre på UAC-indstillingerne," siger Peter Kruse fra CSIS.

Nemt at fjerne

Han vurderer dog ikke problemet som meget alvorligt.

"Det kræver, at man kan lokke brugeren til at afvikle koden, så det er ikke noget angriberen bare lige gør. Hvis man kan det, er der samtidig en hel række måder, man kan misbruge systemet på," siger han.

"Hullet kan relativt nemt lukkes af Microsoft eksempelvis ved at fremtvinge en dialogboks på skærmen, når der foretages ændringer i UAC-indstillingerne," siger han.

"Microsoft har nok lempet UAC-funktionen lidt for meget, og det er ikke hensigtsmæssigt. Derfor vil problemet sandsyneligvis være fjernet i den endelige version af Windows 7," vurderer han.

En række andre sikkerheds-blogs som eksempelvis WindowsConnected omtaler problemet.

På den blog beskrives det som et 'Massivt sikkerhedshul i Windows 7'.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Security Summit 2025: Her er truslerne – og sådan beskytter du dine kritiske data

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

19. august 2025 | Læs mere


Cyber Security Summit 2025 i Jylland

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

21. august 2025 | Læs mere


AI i det offentlige: Potentiale, erfaringer og krav

Hør erfaringerne med at anvende AI til at transformere og effektivisere processer i det offentlige – og med at sikre datakvalitet, governance og overholdelse af retningslinjer.

27. august 2025 | Læs mere