قامت إحدى المنتميات إلى الهاكرز وتدعى جوانا روتوسكا بالادعاء أنها اكتشفت إحدى الثغرات في الخاصية الأمنية (User Account Control) أو (UAC) والمعنية بالتحكم في خصائص حساب المستخدم الموجود في نظام ويندوز فيستا (Windows Vista).
وكانت مايكروسوفت قد أكدت للمستخدمين الذين يعملون بنظام (Windows XP) باستمرار ومن خلال حساب المدير(admin account) أنه باستطاعتهم الدخول لأي منطقة في النظام بحرية تامة.
ولتقليل نسبة المخاطر الأمنية فأن نظام (Vista) يقوم بتشغيل حساب المستخدم الطبيعي بشكل تلقائي ويقوم بإظهار رسائل تأكيد مفاجئة وذلك في حالة طلب القيام بأحد الوظائف الخاصة بحساب المدير مثل التعديل في ملفات النظام.
وقد أكدت روتوسكا أن نظام فيستا عندما يكتشف أن المستخدم يقوم بتشغيل ملف تنصيب عندها يقوم بتحويله تلقائيا إلى النمط الكامل لحساب المدير. وإذا أراد المستخدم تنصيب برنامج جديد فستظهر له رسالة اختيارية وذلك للسماح للبرنامج بإكمال تنصيب امتيازات النظام أو عدم تشغيل البرنامج على الإطلاق.
وقامت روتوسكا بالكتابة عن تلك الثغرة في مدونتها (Invisible Things) (http://theinvisiblethings.blogspot.com) وأكدت أنه إذا قام المستخدم بتنزيل أحد الألعاب الخفيفة المجانية مثل (Tetris) وحاول تنصيبها على الجهاز فيمكنه من خلالها الدخول والتحكم في جميع ملفات النظام كما أنها تقوم بتحميل مشغلات كيرنيل (Kernal). وهنا تتساءل روتوسكا عن السبب في السماح لبرنامج تنصيب لعبة بسيطة مثل (Tetris) في التحكم في ملفات النظام.
وبعد أيام قليلة من المشاركة التي قامت بها روتوسكا والتي أوضحت فيها تلك الثغرة قامت مايكروسوفت بالرد وأكدت أن المشكلة موجودة ولكن أصلها يعود إلى تفضيل مايكروسوفت عمل توازن كبير في نظام فيستا بين خصائص الحماية وخصائص سهولة الاستعمال. وكان هذا السبب الغير مقنع هو الدافع وراء مشاركة أخرى لروتوسكا أكدت فيها أن هذا التفسير غير ملائم وأن مايكروسوفت يجب أن تبذل قصارى جهدها لحل تلك المشكلة بدلا من صرف النظر عنها.
المصدر
http://www.aitnews.com/index.php?opt...tails&nid=5187
رد مع اقتباس
