ब्लॉगर: विंडोज 7 यूएसी फ़ीचर अभी भी कमजोर

माइक्रोसॉफ्ट ब्लॉगर जिसने पहली बार विंडोज 7 के यूज़र अकाउंट कंट्रोल (यूएसी) फीचर में सुरक्षा भेद्यता पर ध्यान दिया था, का दावा है कि यह अभी भी मौजूद है और माइक्रोसॉफ्ट इसे ठीक नहीं करेगा, कंपनी के रूप में भी ओएस पर अंतिम कोड पूरा होने के करीब है।

लांग झेंग, जो लोकप्रिय "आई स्टार्टेड समथिंग" ब्लॉग लिखता है, ने एक वीडियो ऑनलाइन पोस्ट किया है जिसमें दिखाया गया है कि कैसे यूएसी, विंडोज विस्टा में पहली बार एक सुरक्षा सुविधा पेश की गई है जो पीसी पर उपयोगकर्ता विशेषाधिकार सेट करती है विंडोज 7 का शोषण किया जा सकता है।

झेंग ने माइक्रोसॉफ्ट टेक्निकल फेलो मार्क रसेलिनोविच द्वारा एक निर्देशक दस्तावेज की ओर इशारा किया जो यूएसी को समझाने का प्रयास करता है और कहता है कि यह स्पष्ट रूप से बताता है कि माइक्रोसॉफ्ट के पास विंडोज़ में यूएसी में किए गए बदलाव को ठीक करने का कोई इरादा नहीं है 7 जो नए ओएस को कम सुरक्षित छोड़ देता है क्योंकि यह किसी को उपयोगकर्ता को जानने के बिना सुविधा को दूरस्थ रूप से बंद करने की अनुमति देता है।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

झेंग ने पहले इस बदलाव को इंगित किया और इसकी फरवरी में वापस भेद्यता। उस समय उन्होंने कहा कि नया यूएसी "मानक उपयोगकर्ता" डिफ़ॉल्ट सेटिंग, जो किसी उपयोगकर्ता को सूचित नहीं करता है जब Windows सेटिंग्स में परिवर्तन किए जाते हैं, जहां सुरक्षा जोखिम निहित होता है। यूएसी में एक बदलाव को विंडोज सेटिंग में बदलाव के रूप में देखा जाता है, इसलिए यूएसी अक्षम होने पर उपयोगकर्ता को अधिसूचित नहीं किया जाएगा, जो झेंग ने कहा कि वह कुछ कीबोर्ड शॉर्टकट्स और कोड के साथ दूरस्थ रूप से करने में सक्षम था।

यूएसी एक विवादास्पद रहा है फीचर माइक्रोसॉफ्ट ने इसे विंडोज विस्टा में अपनी सुरक्षा में सुधार करने के लिए पेश किया है और जो लोग पीसी के प्राथमिक उपयोगकर्ता हैं, उनके अनुप्रयोगों और सेटिंग्स पर अधिक नियंत्रण रखते हैं। विशेषताएं उपयोगकर्ताओं को प्रशासनिक विशेषाधिकारों के बिना सिस्टम में अनधिकृत परिवर्तन करने से रोकती हैं।

रसेलिनोविच के दस्तावेज़ में, वह स्वीकार करते हैं कि झेंग और दूसरों के अवलोकन इस बात के बारे में करते हैं कि कैसे तीसरे पक्ष के सॉफ्टवेयर पीसी का प्रशासनिक अधिकार हासिल करने के लिए सुविधा का उपयोग कर सकते हैं सटीक है ।

हालांकि, झेंग के ब्लॉग पोस्ट के अनुसार, रसेलिनोविच रिमोट कोड निष्पादन के लिए इस संभावना को खारिज कर रहा था और इसके लिए कोई फिक्स नहीं पेश करता था, क्योंकि उसने कहा था कि मैकवेयर यूएसी संकेतों के माध्यम से सिस्टम में आने के अन्य तरीके हैं।

"फॉलो-अप अवलोकन यह है कि मैलवेयर एक ही तकनीक का उपयोग करके प्रशासनिक अधिकार प्राप्त कर सकता है," रसेलिनोविच ने लिखा। "फिर, यह सच है, लेकिन जैसा कि मैंने पहले बताया था, मैलवेयर सिस्टम को प्रॉम्प्टेड एलिवेशंस के माध्यम से भी समझौता कर सकता है। मैलवेयर के परिप्रेक्ष्य से, विंडोज 7 का डिफ़ॉल्ट मोड हमेशा अधिसूचना मोड से अधिक या कम सुरक्षित नहीं है (" Vista मोड "), और मैलवेयर जो व्यवस्थापकीय अधिकार मानते हैं, विंडोज 7 के डिफ़ॉल्ट मोड में चलने पर भी टूट जाएंगे।"

माइक्रोसॉफ्ट ने ज़ेंग के दावे और वीडियो पोस्ट पर टिप्पणी के अनुरोध के आधिकारिक तौर पर जवाब नहीं दिया। हालांकि, एक कंपनी के प्रवक्ता ने निजी तौर पर कहा कि झेंग ने रसेलिनोविच के दस्तावेज़ का गलत व्याख्या किया हो सकता है।

"बिंदु मुझे लगता है कि मैलवेयर के लिए पहली जगह सिस्टम पर पहुंचना मुश्किल हो गया है, अंत उपयोगकर्ता को बेहतर निर्णय लेने में मदद करके प्रवक्ता ने कहा, "ई-मेल के माध्यम से नामित नहीं होने के बारे में पूछे जाने वाले प्रवक्ता ने कहा," वे संकेत देते हैं कि वे अधिक से अधिक उपयोगकर्ता मानक मोड मोड बनाम व्यवस्थापक मोड में चल रहे हैं (क्योंकि व्यवस्थापक मोड आपके मशीन को जोखिम में उजागर करता है)।

माइक्रोसॉफ्ट यूएसी की डिफ़ॉल्ट सेटिंग में बदलाव से खड़ा था जब झेंग ने अपना पहला भेद्यता दावा किया था, यह कहकर कि इस सुविधा को तब तक शोषित नहीं किया जा सकता जब तक कि मशीन पर पहले से ही दुर्भावनापूर्ण कोड नहीं चल रहा है और "कुछ और पहले ही उल्लंघन हो चुका है।"

माइक्रोसॉफ्ट ने कहा है कि वर्तमान में एक पूर्वावलोकन रिलीज में विंडोज 7, 22 अक्टूबर को दोनों व्यवसायों और उपभोक्ताओं के लिए उपलब्ध होगा। ओएस के निर्माण के लिए रिलीज, जिस पर सभी कोड अंतिम होंगे, अगले महीने के अंत में उम्मीद है।