Rutkowska aprecia "un agujero muy severo" en el UAC de Windows Vista
Y sigue la fiesta. La hacker Joanna Rutkowska (que tantos admiradores parece tener entre los lectores de Kriptópolis, no sé si debido a sus brillantes trabajos o a razones más... mundanas) ha señalado lo que en su opinión representa un "agujero muy severo" en UAC, el célebre Control de Acceso de Usuarios en el que descansa gran de la política de seguridad de Windows Vista.
Y no sé qué es peor, si que tenga razón (que en mi opinión la tiene), o la dolorosa certeza de que algo tan evidente nos haya pasado desapercibido a todos hasta hoy...
Dice Rutkowska:
Algo que encuentro particularmente molesto sin embargo, es que Vista asume automáticamente que todos los programas que instalan aplicaciones deberían ejecutarse con privilegios de administrador. Así que cuando intentas ejecutar uno de esos programas, salta una ventana de UAC y sólo tienes dos opciones: o aceptas ejecutar esa aplicación como admnistrador o no permites que se ejecute en absoluto. Eso significa que si te descargaste un Tetris gratuito tendrás que ejecutar su instalador como administrador, concediéndole no sólo acceso total a tu sistema de ficheros y tu registro, sino permitiéndole también ¡cargar drivers en el kernel! ¿Por qué al instalador de un Tetris debería permitírsele cargar drivers en el kernel?
Como luego continúa señalando Rutkowska en su propio blog, la situación es mucho mejor en Windows XP, ya que puedes autorizar a una cuenta normal a que realice ese tipo de operaciones o, si eres muy paranoico, incluso crear una nueva cuenta llamada por ejemplo "Instalador".
No sé a vosotros, pero a mí me parece uno de los vapuleos más fuertes que ha recibido Windows Vista en sus escasos días de vida, ya que se trata de un fallo fundamental de diseño que afecta a algo que siempre se nos ha presentado como uno de sus pilares principales.
Habrá que ver cómo evoluciona este episodio en los próximos días.
* UAC – The Good and The Bad [El artículo original, en el propio blog de Joanna Rutkowska].
* Hacker, Microsoft duke it out over Vista design flaw [Zero Day, blog de ZDNet].
Fuente: http://kriptopolis.org/rutkowska-aprecia-un-agujero-muy-severo-en-el-uac-de-windows-vista
Y no sé qué es peor, si que tenga razón (que en mi opinión la tiene), o la dolorosa certeza de que algo tan evidente nos haya pasado desapercibido a todos hasta hoy...
Dice Rutkowska:
Algo que encuentro particularmente molesto sin embargo, es que Vista asume automáticamente que todos los programas que instalan aplicaciones deberían ejecutarse con privilegios de administrador. Así que cuando intentas ejecutar uno de esos programas, salta una ventana de UAC y sólo tienes dos opciones: o aceptas ejecutar esa aplicación como admnistrador o no permites que se ejecute en absoluto. Eso significa que si te descargaste un Tetris gratuito tendrás que ejecutar su instalador como administrador, concediéndole no sólo acceso total a tu sistema de ficheros y tu registro, sino permitiéndole también ¡cargar drivers en el kernel! ¿Por qué al instalador de un Tetris debería permitírsele cargar drivers en el kernel?
Como luego continúa señalando Rutkowska en su propio blog, la situación es mucho mejor en Windows XP, ya que puedes autorizar a una cuenta normal a que realice ese tipo de operaciones o, si eres muy paranoico, incluso crear una nueva cuenta llamada por ejemplo "Instalador".
No sé a vosotros, pero a mí me parece uno de los vapuleos más fuertes que ha recibido Windows Vista en sus escasos días de vida, ya que se trata de un fallo fundamental de diseño que afecta a algo que siempre se nos ha presentado como uno de sus pilares principales.
Habrá que ver cómo evoluciona este episodio en los próximos días.
* UAC – The Good and The Bad [El artículo original, en el propio blog de Joanna Rutkowska].
* Hacker, Microsoft duke it out over Vista design flaw [Zero Day, blog de ZDNet].
Fuente: http://kriptopolis.org/rutkowska-aprecia-un-agujero-muy-severo-en-el-uac-de-windows-vista
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!