Pressemeddelelse      14.02.2007

Sikkert at bruge Microsoft Vista?

Microsofts Vista’s introduktion af UAC, den nye brugerkonto kontrol, giver brugeren flere integritetsniveauer, hvilket forhindrer brugeren tilgang til visse niveauer, men en brist i sikkerheden giver brugeren administratorrettigheder under installation af programmer og derved tildeles brugeren mulighed for at skrive I databaser, som han normalt ikke bør kunne tilgå.

Ifølge ZDNet har den anerkendte hacker Joanna Rutkowska fundet et markant hul I Windows Vista’s design af UAC (Bruger konto kontrol). Rutkowska har fået dette bekræftet fra Microsoft. Default no-admin settings er end ikke en sikkerhedsmekanisme mere.

Rutkowska mener at Microsoft ’s UAC har et alvorligt sikkerhedsproblem i måden det automatisk konkluderer, at alle setup programmer skal afvikles med administrator privilegier.
Det der rent faktisk sker er at UAC’en vil prompte brugeren,som får to valg: Du kan enten køre applikationen, som administrator eller nægte at afvikle applikationen. Det betyder at hvis man vil køre et gratis spil på sin computer, så skal man gøre det som administrator, hvilket vil give programmet fuld adgang til dit filsystem og registreringsdatabasen, men også vil give mulighed for at loade kerne drivere. Rutkowska mener, at det burde være muligt at tillade at programmet opretter en folder i C:\Program Filer og nogle nøgler under registrerings settings. Det kan man under XP, men åbenbart ikke under Vista.

C-cure’s konsulent Thomas B. Nielsen, kommenterer at det er meget uheldigt for Microsoft, at de har valgt at markedsføre Vista med stor fokus på høj sikkerhed i produktet. Det er en farlig udmelding, som inviterer til hacking og malwarescripting. Mange seriøse programmer og spil kan ikke afvikles på Vista af sikkerheds-eller grafikmæssige grunde. dette til trods for at man altså fra Microsofts side går på kompromis med sikkerheden, når der skal installeres software. Et kompromis der betyder at rootkits og andet malware kan komme ubemærket ind.
Værd at bemærke er jo at Microsofts antivirus LiveOneCare ikke passerede fejlfrit i Virus Bulletins test af antivirusprogrammer i denne måned. Så man skal altså ikke sætte sin lid til at Microsoft selv afdækker problemer omkring Malware, for nuværende. "Vi har en del kunder som har valgt allerede nu at migrere til Vista, men vi anbefaler generelt, at man holder på hesten. Hverken Vista eller diverse sikkerhedsløsninger er gennemtestet, så med mindre man har tungt vejende argumenter for at bruge Vista, så bør man vente til de værste børnesygdomme er afdækket og patchet", siger Thomas B. Nielsen

Mark Russinovich fra Microsoft mener ikke at der er tale om et sikkerhedshul i UAC’en, eftersom UAC’en ikke er en sikkerhedmekanisme, men at man fra Microsofts side har foretrukket brugervenlighed og der dermed er tale om et bevidst valg af design.

For at læse ZDNets fulde artikel følg dette link

For yderligere oplysninger kontakt

C-cure

Mette Nikander
mn@c-cure.dk
Tlf. 45411446
www.C-cure.dk

C-cure etableret i 1993, leverer rådgivning, konsulentbistand og IT sikkerhedsløsninger til over 600 danske og internationale virksomheder.

Microsoft 365 security

Microsoft 365 security

Powered by wpsnet.com -  Menu design based on CC-BY: html5up.net