Bug ciclopico su Vi$ta… nel User Account Control.

Ciao,

riporto qui di seguito un articolo di Salvatore Ingrosso, pubblicato sul sito di Doxaliber.

>>>>>>>>>>>>>>>

Scoperta una grave falla in Window$ Vi$ta, ma per Micro$oft è solo una scelta di design !

Vista Patch

Joanna Rutkowska è una hacker che si è data molto da fare nello scoprire i bachi di sicurezza di Windows Vista.
Nonostante questo è rimasta per lungo tempo una sostenitrice del modello di sicurezza proposta da Microsoft con il suo nuovo sistema operativo, questo finché non ha scoperto una grave vulnerabilità nello User Account Control (UAC) di Vista, che ha così descritto nel suo blog:

“Quando provate ad avviare un programma, vi si presenterà il prompt dell’UAC e avrete solo due scelte: dare il consenso ed avviare l’applicazione con privilegi amministrativi o bloccare l’applicazione ed impedirne totalmente l’avvio. Questo significa che se avete scaricato una versione freeware di Tetris, dovrete avviare il suo installer come amministratore, dandogli non solo ‘accesso all’intero file system e al registro di sistema, ma permettendogli anche di caricare driver a livello kernel! Perchè l’installer del Tetris dovrebbe avere il permesso di caricare driver a livello kernel?“.
In che modo Vista riconosce gli installer eseguibili? Utilizzando un database di compatibilità ed una serie di metodi euristici. Esempio: Se il nome del file contiene la stringa “setup” (Davvero, non dico fesserie!). Alla fine guarda nel manifesto dell’eseguibile, e buona parte dei moderni installer dovrebbero avere questo manifesto integrato al loro interno, il che dovrebbe indicare che l’eseguibile deve essere avviato in modalità amministratore.
Trovate l’intero post sul blog della Rutkowska: Invisiblethings.

Ma ciò che ha fatto arrabbiare Rutkowska è stata la risposta di Microsoft, che l’ha spinta a scrivere un post dal titolo inequivocabile: ” Vista Security Model – A Big Joke?.
Questo è la risposta fornita alla Rutkowska da Mark Russinovich (un impiegato Microsoft):

“Dovrebbe essere chiaro, che né l’UAC elevation ne il Protected Mode di IE definiscono nuove barriere di sicurezza per Windows. Microsoft ha comunicato questo ma voglio essere sicuro che questo punto sia chiaramente compreso. Tra l’altro, come puntualizzato da Jim Allchin nel suo blog post: “Funzionalità di sicurezza VS Convenienza”, Vista alterna sicurezza e convenienza, e sia UAC che Protected Mode IE hanno scelte di desgin che costringono a lasciare aperti alcuni persorsi nel muro dell’IL per questioni di compatibilità e facilità di utilizzo”.

Il tizio in questione ha anche aggiunto che, secondo lui, siccome la vulnerabilità nel UAC è stata una scelta di design voluta da Microsoft, al fine di aumentare la facilità di utilizzo e la compatibilità del sistema, questo problema con l’UAC non può essere considerato un bug di sicurezza!

Joanna Rutkowska, ovviamente è, come me d’altronde, rimasta allibita per le parole di Microsoft, ed ha concluso così il suo post (che potete leggere integralmente qui):

Quindi, dirò questo: Se Microsoft non cambierà la sua attitudine al più presto, allora tra qualche mese la sicurezza di Vista (dal tipico punto di vista di un malware) sarà uguale a quella degli attuali sistemi XP (il che significa, non molto impressionante).

Copyright: Salvatore Ingrosso

Il contenuto di Doxaliber è pubblicato con licenza: Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.

<<<<<<<<<<<<<

Visto a che cosa vanno incontro i cari utenti di Micro$$oft ?? Meditate gente….

Alle prossime, Paolettopn.

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: