PDA

Visualizza versione completa : Vulnerabilita di vista


josefh♣
16-02-2007, 00.21.50
La ricercatrice di sicurezza Joanna Rutkowska ha scoperto una falla "molto critica" nel sistema di sicurezza UAC (User Account Control) di Microsoft Windows Vista. Secondo quanto riportato sul suo blog, la falla è presente nel meccanismo con cui l'UAC assume che tutti i programmi possano acquisire privilegi amministrativi.

"Quando provate ad avviare qualsiasi programma, vi si presenterà il prompt dell'UAC e avrete solo due scelte: dare il consenso per far sì che l'applicazione lavori con privilegi amministrativi o non permetterne che funzioni. Questo significa che se avete scaricato un gioco freeware come Tetris, dovrete avviare il suo installer come amministratore, dandogli non solo tutto l'accesso al vostro file system e al vostro registro, ma permettendogli anche di caricare driver a livello kernel! Perchè l'installer del Tetris dovrebbe avere il permesso di caricare driver a livello kernel?".

Questo succede perchè Vista utilizza un database di compatibilità e diversi metodi per riconoscere l'installer e, ogni volta che il SO rileva che un eseguibile è un programma di setup, "li permette di lavorare con privilegi amministrativi".

Secondo la Rutkowska questo problema di fondo dell'UAC è una falla grave, gravissima.

Microsoft ha risposto alla ricercatrice attraverso Mark Russinovich, che ha spiegato - seppur lasciando perplessa la Rutkowska e anche noi - che l'UAC ha sì delle debolezze, ma da vedersi come "scelte di design" e non "vulnerabilità". In definitiva per arrivare a un compromesso accettabile tra usabilità e sicurezza, Microsoft ha lasciato il fianco scoperto.

Una spiegazione che non sta in piedi a prima vita, perchè qualunque sia la motivazione dietro al meccanismo con il quale si comporta l'UAC, se c'è una via d'attacco è da vedersi come una possibile vulnerabilità, in qualunque caso.


piu info (http://blogs.zdnet.com/security/?p=29)

[spike]
16-02-2007, 07.45.08
Se avessero messo 4 opzioni ci sarebbe stata sicuramente la dottoressa Anna Kulova che sostiene che 4 scelte del pop-up UAC erano troppo per l'utente medio...

In XP questa funzione non c'è. Semplicimente avvii il file exe.
Rispetto agli exe che partono da soli da una mail come tutt'ora accade mi sembra che invece vada bene che ci siano solo 2 opzioni.
Vorrei anche ricordare a Joanna Rutkowska che i sistemi operativi non si prendono pezzo per pezzo ma si giudicano nel loro insieme. Dato che Vista (sopratutto la versione ultimate) ha NUMEROSI sistemi di salvaguardia della sicurezza che XP NON HA, sarebbe bene quando si fa una critica considerare anche il contesto e non prendere un elemeno di per se poco significativo e spacciarlo come falla grave del sistema.
Comunque, se vorrà, le manderò personalmente un bello scafandro per mail, così si sentirà davvero sicura davanti a un pc!

:)

zen67
16-02-2007, 08.12.54
Ha fatto la scoperta dell'acqua calda!!!!

La UAC ha sempre creato problemi le varie versioni di DOOM lo dimostrano!!!

:devil: :devil: :devil: :devil:

:fool: