Windows 7: Sicherheitslücke in Beta-Version
Ein simples VBScript kann in der Betaversion von Windows 7 die Benutzerkontensteuerung (UAC) abschalten -- was Microsoft nicht für ein Sicherheitsproblem hält.
Der Entwickler Rafael Rivera hat ein einfaches Skript veröffentlicht, das eine Sicherheitslücke in der aktuellen Beta-Version von Windows 7 demonstriert. Microsoft hat auf die Klagen Vista-geplagter Anwender reagiert und lässt den Sicherheitsmechanismus der Benutzerkontensteuerung (UAC) in Windows 7 seltener nachfragen. Insbesondere dürfen Anwender per Voreinstellung standardmäßig Systemeinstellungen ändern, ohne eine zusätzliche Sicherheitsabfrage abnicken zu müssen.
Das simple Hacker-Skript sendet Windows Tastaturbefehle, die den UAC-Konfigurationsdialog öffnen und die Benutzerkontensteuerung umkonfigurieren. Der Anwender erhält keinen Warnhinweis, sondern lediglich die Aufforderung, seinen PC neu zu starten, um die Änderungen zu übernehmen. Das Skript funktioniert bei der deutschen Beta zwar erst nach einer Modifikation, dies ändert am "Proof of Concept" aber nichts.
Microsoft hat gegenüber dem Blogger Long Zheng bestritten, dass es sich hier um eine Sicherheitslücke handele, die in der finalen Windows-7-Version behoben werden müsste. Damit das bösartige Skript die Einstellung ohne das Wissen des Anwenders ändern kann, müsse es ja bereits auf dem PC laufen -- der Rechner sei also bereits kompromittiert worden.
Diese Argumentation erscheint allerdings nicht schlüssig, denn UAC soll ja unerwünschte Aktivitäten von Programmen aufdecken beziehungsweise verhindern. So wie die Beta-Version von Windows 7 in der Grundeinstellung konfiguriert ist, kann das Skript UAC jedoch komplett abschalten, ohne dass es der Anwender dazu autorisieren muss. Nur wer UAC restriktiver einstellt oder mit einem eingeschränkten Benutzerkonto arbeitet, ist vor dem Angriff gefeit. (kav)
