Gastbeitrag von Georg Binder, selbständiger IT-Dienstleister und Autor von vistablog.at, auf dem er seit über zwei Jahren Windows Vista und in Zukunft Windows 7 vorstellt, um sie gemeinsam mit Interessierten zu diskutieren und hinterfragen.

Also mindestens 1000 Kudus gehen an Long Zheng (istartedsomething.com). Die ganze Geschichte zusammengefasst:

Mitte Januar:
Long entdeckt ein Problem mit der UAC. Die lässt sich nämlich durch Scripts automatisch ausschalten, solange man diese nicht auf “ganz scharf” stellt.
Microsoft spricht von einem Feature (“by design”) statt einem Bug (ok, nicht ganz so, aber,…) und schließt entsprechende Bugreports auf Connect.

30. Januar :
Long geht damit öffentlich.  Sacrificing security for usability: UAC security flaw in Windows 7 beta (with proof of concept code)

31. Januar:
Microsoft antwortet – und winkt ab. Microsoft dismisses Windows 7 UAC security flaw, continues to insist it is “by design”

04. Februar:
Long besteht drauf. Und zeigt weitere Issues in dem Zusammenhang auf. Second Windows 7 beta UAC security flaw: malware can silently self-elevate with default UAC policy

05. Februar:
Zuerst noch etwas vorsichter Erklärungsversuch über UAC seitens Microsoft: Update on UAC. Und dann am selben Tag die gute Nachricht: Microsoft hört auf das feedback. Und das sogar (lt. Long) besser als ursprünglich von ihm vorgeschlagen: Users prevail: Microsoft changes Windows 7 UAC control panel behavior to address security flaw bzw. vom Engineering Team: UAC Feedback and Follow-Up

Fazit: gut gemacht Long, ok gemacht Microsoft. Das nächste Mal geht’s auch vielleicht ohne öffentlichen Druck, wenn Windows-Fans etwas entdecken.

Einziges Problem: die Änderung wird erst mit dem Release Candidate öffentlich gemacht (auch wenn sie in internen Builds bereits inkludiert ist). Eine Empfehlung könnte für sicherheitsbewusste daher lauten: UAC auf ganz scharf zu stellen. Oder sich zu überlegen, welche Programme (Malware) man startet und brain.exe zu nutzen. Was wohl noch besser wäre,…