Vista schwächelt bei Zugriffsrechten
Obwohl ein Sicherheitsunternehmen eine Schwachstelle bereits Mitte Januar herausfand und weiterleitete, lieferte Microsoft das Betriebssystem Vista mit dem Fehler aus.
Eeye Digital Security hatte am 19. Januar eine Warnung herausgegeben, wonach die Lücke in Vista erlaubt, Zugriffsrechte eines Anwenders über das erlaubte Maß hinaus zu erweitern. Die Gefährlichkeit war nur deshalb mit ‘medium’ angegeben worden, weil durch die Schwachstelle niemand remote in den Computer einbrechen kann, hieß es laut Presseberichten bei Eeye.
Microsoft selbst ließ sich zu nicht mehr als der Aussage hinreißen, man arbeite noch an dem Problem und werde sich ansonsten an öffentlichen Dikussionen nicht beteiligen. Bisher seien außerdem keine Schäden bekannt geworden.
Betroffen ist allem Anschein nach eine Feature, das dem Hersteller bereits in anderer Sache Negativschlagzeilen eingebracht hat. Es heißt ‘User Account Control’ und stattet Anwender, Prozesse und Applikationen standardgemäß mit begrenzten Rechten aus, was zum Teil als Vorteil angesehen wird, da in früheren Microsoft-Betriebssytemen sträflich Admin-Rechte verschleudert wurden.
Kritiker werfen Microsoft aber vor, es sich einfach zu machen, indem der Hersteller die Anwender von Admin-Accounts fernhält und stattdessen begrenzte Privilegien standardmäßig anbietet. Das hatte sogar Mark Russinovich, Mitarbeiter in Microsofts ‘Platform and Services’- Abteilung sowie Blogger, in einem festgestellt.
Erst Anfang der Woche hatte das French Security Incident Response Team (FrSIRT) außerdem auf eine Sicherheitslücke hingewiesen, die die Betriebssysteme Windows Vista, XP, 2000 und Windows Server 2003 betrifft.