微軟否認Windows 7的UAC有漏洞

一名部落客揭露Windows 7的UAC功能含有安全漏洞，並祭出概念性驗證程式，微軟則堅持這是UAC的設計而非安全漏洞。


上周一名部落客Long Zheng揭露了微軟最新作業系統Windows 7的使用者帳號控制（User Accoung Control，UAC）功能含有安全漏洞，並祭出概念性驗證程式，不過，部份媒體相繼引述微軟指出，Zheng所指的並不是安全漏洞。


UAC是在Windows Vista中就有的功能，主要是為了安全考量，在直接進入系統前設計一道防線，使用者必須先進入UAC更改設定才能執行管理員權限的功能，由於此舉不但限制了駭客，也妨礙了使用者的電腦操作，因此引發不少的抱怨。


微軟在Windows 7中更新了UAC功能，新的UAC控制盤可設定各種提示出現的時機，並提供四種層級設定，諸如在系統變更時提醒使用者，或是在各種程式企圖改變使用者電腦時出現提示，以及在未使用安全桌面下有程式企圖改變電腦時提醒使用者，以及關閉UAC功能的選項，在Vista系統上，微軟僅提供開啟及關閉兩種選項。


微軟讓Windows 7的使用者可以根據需求選擇不同的層級，其預設值是在各種程式企圖改變使用者電腦時出現提示，但可允許使用者更改電腦設定。


Zheng認為可以設計一個程式在使用者未察覺的情況下關閉UAC功能，因為UAC在使用者改變設定時並不會出現提示。


不過微軟則堅持這是UAC的設計而非安全漏洞。IDG與vnunet.com相繼引述微軟發言人指出，這並非UAC的安全漏洞，而是微軟根據層級所設計的UAC功能，該預設值是要讓使用者在更改視窗設定時不會出現提示，而且如果要像Zheng所宣稱的可以不知不覺地關閉UAC，那麼駭客必須已經透過其他的漏洞入侵使用者電腦並植入惡意程式。

thx

o