Begin deze week ontstond beroering over de afstelling van UAC (User Account Control) in Windows 7. Microsoft heeft, na kritiek op het irritante Vista UAC, het beveiligingssysteem voor het nieuwste OS aangepast, zodat deze niet om de haverklap als popup tevoorschijn komt. Maar de nieuwe afstelling zou, zo ontdekten onderzoekers Long Zheng en Rafael Rivera, het mogelijk maken voor malware om het systeem als geheel uit te schakelen zonder dat de gebruiker het weet. Rivera heeft het klaargespeeld met een eenvoudig VSBscript.

Toch gaf Microsoft in een reactie aan niet in te gaan op de gevonden kwetsbaarheden. Het zou gaan om een bewuste functiekeuze, en bovendien voerde het bedrijf aan dat een systeem al gecompromiteerd moet zijn, als de malware zijn slag wil kunnen slaan. "We deden wat u ons hebt gevraagd", zo schrijft bijvoorbeeld Microsoftmedewerker Roger Halbheer op zijn weblog, "namelijk het verminderen van het aantal UAC-prompts, vooral als je met de Windows-instellingen bezig gaat."

Maar Microsoft is alsnog overstag gegaan. Tegenover Computerworld gaf Redmond aan dat het bedrijf alsnog aanpassingen aan UAC heeft gedaan in post-beta builds van het nieuwe besturingssysteem. De aanleiding zou nieuwe aanvalscode zijn die de onderzoekers Rivera en Long recent hebben aangeleverd. In dat interview zegt de zegsman alleen dat UAC voor Windows 7 niet terug zal worden gezet naar het oude Vistagedrag, iets waar Rivera voor pleit.

Wat de aanpassingen dan wel precies zijn, is dus niet bekend. Maar Ruud de Jonge van Microsoft bevestigt tegenover Techworld wel dat Microsoft alsnog afstapt van het huidige instellingen. "Wat ik begrepen heb is dat wij het gedrag van UAC hebben aangepast naar aanleiding van deze feedback", zegt De Jonge. Hij kon niet zeggen wat de praktische uitwerking daarvan zal zijn. "Ik ga denk ik binnenkort zelf even een recente build van Windows 7 ga installeren", zegt De Jonge. Bron: Techworld