Nei giorni scorsi Long Zheng e Rafael Rivera (ved. questa notizia), avevano posto l’accento su una “debolezza” individuata, in Windows 7, nel funzionamento di UAC, il meccanismo che ha debuttato con Windows Vista e che mira a limitare la libertà d’azione delle applicazioni installate impedendo l’effettuazione di interventi sulle aree chiave del sistema operativo. Le modifiche possono essere applicate solo dietro esplicita autorizzazione da parte dell’amministratore, al quale vengono visualizzate apposite finestre a comparsa.
Se la prima critica, rivolta da Zheng e Rivera, nei confronti del nuovo UAC di Windows 7 è stata rigettata da Microsoft, i due hanno tolto il velo da una problematica di sicurezza che sembra avere i tratti di una vera e propria vulnerabilità.
Rivera ha spiegato, infatti, come il sistema operativo dia grande fiducia a tutte le applicazioni contenenti la firma digitale di Microsoft. Programmi firmati Microsoft possono eseguire anche applicazioni di terze parti.
Il ricercatore spiega come una delle tante applicazioni dotate della firma digitale del colosso di Redmond sia rundll32.exe
. Invocando un’istanza di rundll32.exe
che a sua volta faccia riferimento ad una libreria DLL “nociva”, quest’ultima erediterà i privilegi accordati dal sistema operativo a rundll32.exe
e nessun messaggio di allerta verrà proposto da parte della funzionalità UAC.
Alcuni utenti hanno criticato Microsoft sostenenendo che l’azienda, nel tentativo di ridurre al minimo le finestre di avviso che compaiono tutt’oggi molto di frequente in Windows Vista, si sarebbe orientata – senza la giusta misura – nella direzione diametralmente opposta.
Un portavoce di Microsoft, tuttavia, ha fatto presente come la società di Redmond abbia già provveduto a risolvere le più recenti problematiche relative al funzionamento di UAC in Windows 7. Gli interventi avrebbero posto soluzione alle eccezioni di Zheng e Rivera senza però ripristinare il comportamento di UAC proprio di Vista.
Le modifiche alla funzionalità UAC non dovrebbero essere introdotte – nemmeno mediante il rilascio di una patch – nella beta pubblica di Windows 7, la cui distribuzione è iniziata intorno al 10 gennaio scorso. Per verificare il nuovo comportamento di UAC, gli utenti dovranno invece attendere il rilascio della prima versione “Release Candidate” di Windows 7: al momento non sono disponibili informazioni sulla data di lancio.