科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道微软坚信UAC漏洞不会被利用 不愿发布补丁

微软坚信UAC漏洞不会被利用 不愿发布补丁

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最先引起人们关注微软Windows 7的UAC(用户账户控制)功能中的安全漏洞的微软博客称,这个安全漏洞仍然存在。微软没有修复这个安全漏洞,尽管微软很快就要发布最终版本的Windows 7。

来源:CSDN 2009年6月19日

关键字: 系统漏洞 UAC 微软

  • 评论
  • 分享微博
  • 分享邮件

  最先引起人们关注微软Windows 7的UAC(用户账户控制)功能中的安全漏洞的微软博客称,这个安全漏洞仍然存在。微软没有修复这个安全漏洞,尽管微软很快就要发布最终版本的Windows 7。

  这个名为Long Zheng的博客在网上发表了一个视频,演示了如何利用UAC安全漏洞。UAC安全功能是Windows Vista首先采用的。这个功能可设定用户在Windows 7 PC上的权限。

  Zheng还指出,微软技术研究员Mark Russinovich编写的说明书文件试图解释UAC的问题,明确指出微软不打算修复Windows 7对UAC功能做出的修改。这个修改使Windows 7不太安全,因为这个修改允许某人在用户不知道的情况下远程关闭这个功能。

  Zheng在今年2月首次指出了这个修改及其安全漏洞。他当时说,新的UAC“标准用户”默认设置就是存在安全风险的地方,因为这个默认设置允许在发生变化的时候不通知用户。对于UAC的修改被看作是对于Windows设置的修改。因此,如果UAC功能关闭了,用户将得不到通知。Zheng说,他能够使用键盘快捷键和代码远程关闭这个功能。

  自从微软在Windows Vista中推出UAC功能以来,这个功能一直是有争议的。这个功能阻止没有管理权限的用户对系统进行没有获得批准的修改。

  Russinovich在自己的文件中承认,Zheng和其他人发现的第三方软件能够利用这个功能获得PC的管理员权限是准确的。然而,据Zheng的博客称,Russinovich似乎否认远程执行代码的可能性并且不提供这个安全漏洞的补丁,因为他说恶意软件还有通过UAC功能进入系统的其它方法。

  微软对于Zheng的说法和发表的视频没有发表评论。然而,微软发言人私下表示,Zheng也许错误地解释了Russinovich的文件。

  当Zheng首次指出这个安全漏洞的时候,微软就坚持使用UAC功能的立场。微软称,这个功能是不能被利用的,除非恶意软件已经在那个系统上运行或者其它东西已经被突破了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章