窃取管理权限 Windows 7再爆UAC漏洞

前不久，Windows 7 Beta中的UAC(用户帐户控制)被发现存在一个安全隐患。该隐患会让恶意软件在试图关闭UAC功能时，不会激活系统对用户进行安全提示。当时，微软对此表示，该安全隐患并不是漏洞，而是某种功能的一部分。他们同时还表示不会借此对Windows 7正式版进行修改。

　　然而，现在有Win 7测试者发现系统UAC中还存在另外一个安全漏洞，该漏洞远比此前还在人们激烈讨论中的隐患严重得多。据悉，此次发现的安全漏洞，容易导致恶意软件或者代码在Win 7默认安全设置下窃取管理员权限，甚至关闭整个UAC，并且UAC也不会对用户给出任何提醒。

　　为此，国外还特地有人发表了一个概念验证，可以让攻击者使用rundll32.exe——一个微软签署的应用程序——让恶意代码在电脑上执行窃取管理员权限。

　　这也就是说，使用Windows 7 Beta的计算机目前都存在安全风险。研究人员建议用户，如果你正在使用Windows 7，那么最好将UAC设置为最高级别以最大限度保护电脑安全。然而，这好像又回到了Vista中令人厌烦的UAC境地——使用起来过于繁琐，同时，这又再次验证了安全性和便利可用性之间的关系难以平衡。

　　虽然对于第一个被曝出的Windows 7 UAC漏洞微软予以了否认，但是对于这次曝出的漏洞微软却并没有发表任何评论。有安全人士也正对UAC问题密切关注微软的举措，也有一些人则对软件巨人如何回应此次事件持观望态度。另有传言称，微软近日会对这些问题发表一份官方声明并给出相应的解决办法。

　针对连日来Windows 7出现的UAC漏洞，微软近日表示，将接受外界建议，并对该UAC默认设置进行部分调整和修订。

　　鉴于Vista的UAC所面临的窘困境地，微软在Windows7开发过程中，决定减少对用户改变设置的提醒频度。但最近一些计算机爱好者和安全专家表示，微软对Windows7用户账号控制默认设置进行改变后，将使用户面临安全风险。

　　对此微软的最初意见是，这些修订将不会对用户构成任何安全威胁。但是最近，微软的两位高管，高级副总裁乔恩·德瓦安(JonDeVaan)和史蒂文·西诺夫斯基(StevenSinofsky)称，将接受外部建议，对Windows7的UAC默认设置再次进行部分修改。他们还表示，Windows7 RC版发布后，如果用户对UAC默认设置进行调整，系统将会要求用户加以确认。

　　目前，这一事件引发了人们对是否存在更好的技术来取代UAC的探索。也再次印证了安全性和便利性之间关系难以平衡的道理。