Der Entwickler Rafael Rivera hat ein einfaches Skript veröffentlicht, das eine Sicherheitslücke in der aktuellen Beta-Version von Windows 7 demonstriert. Microsoft hat auf die Klagen Vista-geplagter Anwender reagiert und lässt den Sicherheitsmechanismus der Benutzerkontensteuerung (UAC) in Windows 7 seltener nachfragen. Insbesondere dürfen Anwender per Voreinstellung standardmäßig Systemeinstellungen ändern, ohne eine zusätzliche Sicherheitsabfrage abnicken zu müssen.
Anzeige
Das simple Hacker-Skript sendet Windows Tastaturbefehle, die den UAC-Konfigurationsdialog öffnen und die Benutzerkontensteuerung umkonfigurieren. Der Anwender erhält keinen Warnhinweis, sondern lediglich die Aufforderung, seinen PC neu zu starten, um die Änderungen zu übernehmen. Das Skript funktioniert bei der deutschen Beta zwar erst nach einer Modifikation, dies ändert am "Proof of Concept" aber nichts.
Microsoft hat gegenüber dem Blogger Long Zheng bestritten, dass es sich hier um eine Sicherheitslücke handele, die in der finalen Windows-7-Version behoben werden müsste. Damit das bösartige Skript die Einstellung ohne das Wissen des Anwenders ändern kann, müsse es ja bereits auf dem PC laufen -- der Rechner sei also bereits kompromittiert worden. Diese Argumentation erscheint allerdings nicht schlüssig, denn das Skript funktioniert ohne Administratorrechte und der Anwender muss es nicht privilegieren, damit es die Einstellung ändern kann.
Quelle: heise.de