CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Alvorligt sikkerhedshul i Windows 7 Beta

UAC-funktionen i Windows 7 får systemet til at stå pivåbent, lyder en samlet kritik fra både danske og udenlandske sikkerhedseksperter.

2. februar 2009 kl. 10.50
Nicolai Devantier Nicolai Devantier Journalist

I Vista er funktionen blevet kritiseret sønder og sammen.

Derfor har Microsoft besluttet at ændre User Account Control (UAC) i Windows 7.

Allerede før Windows 7 er sendt på gaden, er den udskældte funktion igen løbet ind i kritik.

En række sikkerhedseksperter advarer nemlig om et massivt sikkerhedshul i betaversionen af Windows 7.

UAC i Windows 7 åbner for alvorlige angreb, lyder det blandt andet fra sikkerhedsblogger Long Zheng.

Hans vurdering bakkes op af en dansk sikkerhedsekspert.

Mange huller

UAC blev introduceret i forbindelse med Windows Vista, og sikkerhedsfunktionen gør, at en bruger med de rigtige rettigheder skal godkende applikationer, inden de kan afvikles.

Funktionen er blevet kraftigt kritiseret, fordi mange brugere anser godkendelsesproceduren for irriterende.

Den kritik har Microsoft taget til sig, og i Windows 7 har software-firmaet ændret funktionen således, at man kan forudindstille UAC til fire forskellige niveauer.

Den beslutning angriber sikkerhedsblogger Long Zheng nu på sin blog.

Han påpeger, at det er muligt at skrive skadelig kode, som kan ændre på indstillingsniveauerne uden, at brugeren bemærker det.

Sammen men udvikleren Rafael Rivera har Long Zheng også skabt et proof of concept, som gør det muligt at slå UAC helt fra på en ekstern maskine.

Problemet er ifølge en dansk sikkerhedsekspert helt reelt.

"Der er skabt et Visual Basic-script, der kan afvikles på maskinen og derigennem ændre på UAC-indstillingerne," siger Peter Kruse fra CSIS.

Nemt at fjerne

Han vurderer dog ikke problemet som meget alvorligt.

"Det kræver, at man kan lokke brugeren til at afvikle koden, så det er ikke noget angriberen bare lige gør. Hvis man kan det, er der samtidig en hel række måder, man kan misbruge systemet på," siger han.

"Hullet kan relativt nemt lukkes af Microsoft eksempelvis ved at fremtvinge en dialogboks på skærmen, når der foretages ændringer i UAC-indstillingerne," siger han.

"Microsoft har nok lempet UAC-funktionen lidt for meget, og det er ikke hensigtsmæssigt. Derfor vil problemet sandsyneligvis være fjernet i den endelige version af Windows 7," vurderer han.

En række andre sikkerheds-blogs som eksempelvis WindowsConnected omtaler problemet.

På den blog beskrives det som et 'Massivt sikkerhedshul i Windows 7'.




Navnenyt fra it-danmarkVis alle »
Morten Dam Gilså
Morten Dam Gilså
Usama Ahmad Mir
Usama Ahmad Mir
Jakob Jehøj-Krogager
Jakob Jehøj-Krogager
Karsten Rosenkilde Lund
Karsten Rosenkilde Lund

Helena Göransson
Helena Göransson
Sofie Elisabeth Stone Havn
Sofie Elisabeth Stone Havn
Umair Butt
Umair Butt
Sebastian Søgaard Larsen
Sebastian Søgaard Larsen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Dinner Roundtable: Sikre og skalerbare løsninger til den moderne komplekse infrastruktu

Traditionelle IT-sikkerhedsløsninger, såsom VPN'er, er ikke længere tilstrækkelige for de avancerede sikkerhedsbehov og kompleksiteten i moderne virksomheder. Det norske nationale cybersikkerhedscenter anbefaler derfor nu at erstatte SSLVPN/WebVPN-løsninger på grund af sårbarheder.

18. september 2024 | Læs mere

Nye forretningsmæssige gevinster med Microsoft Dynamics 365

Eksperter fra CGI stiller skarpt på hvordan, du lærer også hvorfor det er vigtigt at have fokus på både processer, teknologi og mennesker - og hvordan du kommer i gang med løbende optimering af forretningsudvikling.

25. september 2024 | Læs mere

NIS2: Indhold, krav og konsekvenser- sidste chance for at blive klar

Vi sætter på denne dag fokus på hvad NIS2-direktivet kommer til at betyde for din organisation. Du et overblik over direktivet og de skærpede krav, så du undgår bøder og sanktionering.

26. september 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Thomas Madsen
Thomas Madsen
Carsten Olesen
Carsten Olesen
Jim Nielsen
Jim Nielsen
Søren Bo Christiansen
Søren Bo Christiansen og Leon K. Johansen
Mogens Nørgaard
Mogens Nørgaard
Maria Damborg Hald
Maria Damborg Hald
Morten Kjærsgaard
Morten Kjærsgaard
Christoffer Bech
Christoffer Bech
opinion
Thomas Madsen
Thomas Madsen
Helt ærligt: Bæredygtighed er da 100 gange vigtigere end AI
Læs indlæg
Artikel teaser billede

Carsten Olesen

Værdi over volumen: Fremtiden for lydinnovation

Artikel teaser billede

Jim Nielsen

Hvorfor er det lige, at it-folk som regel ikke kommer helt til tops?

Artikel teaser billede

Søren Bo Christiansen og Leon K. Johansen

Sådan rammer du plet med dine it-indkøb

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Mit nye og smarte AI-trick - lad Gudfar og KrakilerChef løse opgaverne

Mest læste klummer og blogs
Hvorfor er det lige, at it-folk som regel ikke kommer helt til tops?
Klumme: Hvorfor er der flere bogholdere end programmører, som tager springet til at blive topleder? En 10 år gammel trosbekendelse giver måske en del af svaret.
Af: Jim Nielsen
Med næste generations brugergrænseflader står vi med en hel unik mulighed
Klumme: Engang var klokenn 20:00 fredag aften et fast holdepunkt i de fleste danske hjem. Flow-tv bestemte, hvornår og hvad vi så i fjernsynet. Vi kunne dengang næppe forestille os en tid, hvor vi ville have frihed til selv at vælge, hvad vi ville se på TV. Det kan vi i dag, men vejen derhen krævede en omfattende digital transformation – en forandring, vi i den offentlige sektor står midt i.
Af: Maria Damborg Hald
Sådan rammer du plet med dine it-indkøb
Klumme: Med stramme budgetter, krav om bæredygtighed og ikke mindst datasikkerhed kan det føles umuligt at få offentlige it-projekter sikkert i land. Men der er en række greb, du kan bruge for at undgå en dårlig kontrakt.
Af: Søren Bo Christiansen og Leon K. Johansen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Mit nye og smarte AI-trick - lad Gudfar og KrakilerChef løse opgaverne
opinion Maria Damborg Hald
Med næste generations brugergrænseflader står vi med en hel unik mulighed
Læs indlæg

Premium
Teaser billede
Microsoft tvangsopdaterer en hel stribe Windows-pc’er
Læs mere »
På blot fire år har Anne og Jacob skabt Danmarks dygtigste it-konsulenthus: "Netværk har været afgørende for vores succes"
Efter 193 dage i politiets varetægt er manden bag Netcompany-læk nu løsladt: "Min klient er naturligvis rigtig glad"
Flere år forsinket: Nu buldrer prisen for stort it-system til politiet i vejret - stiger med 22 procent
Se alle »
Computerworld
Teaser billede
Om lidt går det løs: Så banebrydende bliver iPhone 16
Læs mere »
Nu kommer en af bilbranchens største software-opdateringer nogensinde
iPhone 16 og 16 Pro slippes løs: Her er de to afgørende nyheder
Apple ændrer grundlæggende på den måde, som din iPhone skal opdateres på
Se alle »
CIO
Teaser billede
Nu kommer næste store version af Copilot
Læs mere »
Syv vigtige teknologier, som alle CIO'er bør forholde sig til - kommer til at sætte dagsordenen
Microsoft vil have flere kunder ind i folden: Åbner for verdensomspændende rabat på Copilot M365
Microsoft har fundet 79 sårbarheder i Windows – du bør opdatere straks
Se alle »
Job & Karriere
Teaser billede
Pludselig exit fra Schultz kom som en overraskelse for Merete Søby: Derfor stoppede samarbejdet
Læs mere »
Merete Søby fratræder med omgående virkning som CEO for Schultz efter blot tre måneder på posten
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Læs mere »
Guide: Sådan udvikler du en moderne netværksstrategi
SASE: Træf det rette valg – første gang
Informationshåndtering på frontlinjen: Sådan optimerer du med automatisering
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »