Una guapa hacker encuentra defecto grave en Vista

Noticias24.- Joanna Rutkowska, una chica polaca que se ha hecho conocida por encontrar fallas en la seguridad de Windows, arremete contra Microsoft por tratar de justificar lo que ella considera un defecto muy grave en el sistema que deberí­a proteger a Vista de troyanos y malwares.

Rutkowska explica que la falla está en el User Account Control, una caracterí­stica de Vista que deberí­a limitar las capacidades de un programa de instalarse y hacer cambios en puntos crí­ticos del computador.

“Cuando intentas correr cierto programa, el User Account Control (UAC) te da una alerta con sólo dos opciones: o bien aceptas correr el programa como administrador, o bien prohí­bes que se corra en absoluto. Eso quiere decir que si descargaste por ejemplo un juego freeware de Tetris, tendrí­as que correr el instalador como administrador, lo que le da no sólo acceso completo a tu disco (filesystem) y el registro, sino también le permite instalar controladores del kernel! ¿Por qué se le permite instalar controladores del kernel a un instalador de Tetris?”, planteó Joanna en su blog Invisible Things.

Cada vez que Vista encuentra detecta que un programa es un instalador, sólo le permite ejecutarse en modo de administrador. Esto, para Rutkowska, es “un agujero muy severo en el diseño de UAC)”.

Mark Russinovitch,
un experto de Microsoft, respondió a los planteamientos de Rutkowska con un detallado ensayo técnico, pero la chica está “muy molesta” por la actitud indolente del portavoz de la compañí­a.

“Parece que Microsoft se dio cuenta de que implementar el UAC serí­a muy difí­cil, así­ que tomaron la decisión de no llamarlo mecanismo de seguridad, y también decidieron que ‘potenciales avenidas de ataque, indistintamente de su facilidad o alcance, no son bugs de seguridad‘…”, aclara citando el documento escrito por Russinovitch.

“No me parece justo, después de toda la campaña de seguridad que hizo Vista en 2006, en la que Microsoft presumí­a del nuevo modelo de seguridad en Vista. Esta no es la forma adecuada de resolver los problemas. Microsoft, en lugar de tratar de minimizar el problema, deberí­a trabajar en una solución”, añade.

[ Via ZDNet ]