安全研究人员已经在Windows7的用户帐户控制功能中发现了一个可能十分严重的缺陷。微软已经了解了相关情况,但迄今为止依然认为无需修改尚未发布的Windows7代码。
据国外媒体报道称,用户帐户控制是微软在WindowsVista操作系统中引入的一项安全功能,旨在预防恶意软件的运行。在允许应用软件继续运行前,用户帐户控制功能会提醒用户批准应用软件的运行,但许多用户认为它干扰了自己的正常工作。
微软在β版Windows7中修改了用户帐户控制功能,以提高用户的体验。增强版用户帐户控制功能有4个不同安全级别,意味着普通任务将无需用户的批准就能够正常运行。
但是,微软在修改用户帐户控制的时候,“不留意”引入了另外一个安全缺陷。关闭用户帐户控制功能就不会再提醒用户了。安全研究人员称,这意味着未来的恶意件也能够“悄悄地”关闭用户帐户控制功能,使用户误认为该功能仍然在运行。
安全研究人员解释说,缺省情况下,用户帐户控制功能被设置为“当软件试图改变计算机时通知我”和“改变Windows设置时不要通知我”。用户帐户控制功能根据安全证书识别第三方软件和Windows设置,修改Windows设置的应用软件都带有一个特别的Windows7证书——例如控制面板中的各项功能就带有这样的证书,因此用户改变系统设置不会触发用户帐户控制功能。
用户帐户控制功能的软肋是,修改该功能也被认为是“修改Windows设置”,不会提醒用户。甚至关闭用户控制功能也不会提醒用户。
为了说明该问题的严重性,研究人员还开发出了概念验证代码,能够在用户不知情的情况下“悄悄地”关闭用户帐户控制功能,并能够在加载恶意代码后再激活该功能。
有媒体报道称,微软认为这一问题并非十分严重。用户可以将用户帐户控制功能策略改为当该功能被修改时“总是通知我”,自行解决这一问题。
【编辑推荐】