Symantec warnt erneut vor Microsofts nächstem OS

Der besondere Schutz, dessen Funktion im englischen mit UAC für User Account Control  abgekürzt wird, hat laut Microsoft das Ziel, die Angriffsfläche des Betriebssystems zu reduzieren. Während bei Windows XP im Grunde alle Benutzer Administratorenrechte haben, weil selbst für die einfachsten Aufgaben, zum Beispiel ein Doppelklick auf die Systemuhr, um den Kalender zu öffnen, solche ausführlichen Rechte benötigt werden, sollen bei Vista die Rechte beschränkt werden.

Das bedeutet, UAC gewährt allen Benutzern nur die notwendigsten Rechte. Bei den meisten Tasks ist jetzt die Admin-Erlaubnis erforderlich. Eine Reihe von Implementationslücken sorgen laut Symantec aber dafür, dass der volle Zugriff, nicht zuletzt von einem Hacker, weiterhin möglich bleibt, das Feature also seinen Zweck nicht erfüllt.

Die Schwachstelle herausgefunden haben die Experten, als sie bei einem simulierten Angriff eine bösartige Datei auf einen Vista-PC luden. Das Steuerelement ActiveX-Control führte daraufhin einen Exploit über die Lücke aus. Die Folge: Der uneingeschränkte Zugriff auf den PC war wieder möglich. Laut US-Presseberichten hat Symantec den Bericht seinen Kunden zugespielt, die offizielle Präsentation soll kurz vor der Einführung von Vista erfolgen. Bei der Testversion handelte es sich um die Beta vom Februar dieses Jahres.

Erst vor Kurzem  hatte das Sicherheitsunternehmen in einem Bericht vor den Schwachstellen in Vista gewarnt und dem neuen Betriebssystem einen pannenreichen Auftakt attestiert.