Hackers hebben opnieuw aangetoond dat de User Account Control functie van Windows 7 is te omzeilen. Net als met de vorige aanval moet een slachtoffer wel eerst zelf een kwaadaardig bestand openen, waardoor het niet om een ernstig probleem gaat, aldus Thomas Kristensen van het Deense Secunia. Toch is de aanval van Leo Davidson anders dan de eerder verschenen demonstraties. De nieuwe “code-injection bypass” maakt het mogelijk om alle commando’s met adminrechten uit te voeren.
Volgens Davidson duurde het maken van de twee filmpjes die de aanval demonstreren langer dan het ontdekken van het probleem. In de eerste demonstratie laat Davidson zien hoe Windows 7 "COM elevation" werkt. De tweede video toont hoe code een systeem kan laten crashen zonder waarschuwing van de UAC.
Na de eerdere onthullingen, waarbij hackers aantoonden hoe ze de UAC functie zonder enige waarschuwing konden uitschakelen, liet Microsoft nog weten dat het om een ontwerpkeuze ging. Aan de hand van alle feedback en krtiek besloot het de functie toch aan te passen. Kristensen maakt nogmaals duidelijk dat gebruikers de functie van UAC niet moeten vergeten. Het is namelijk een extra beveiligingslaag die gebruikers er aan herinnert dat de code die ze op hun systeem draaien mogelijk gevaarlijk is. “Het biedt geen garantie dat code het systeem niet beschadigt.”
Deze posting is gelocked. Reageren is niet meer mogelijk.