Den framstående säkerhetsforskaren Joanna Rutkowska har i sin blogg beskrivit vad hon anser vara en stor säkerhetsbrist i Windows Vista. Bristen ligger i User Account Control (UAC). I Vista körs standardkontot inte som administratör, vill man göra något som kräver administratörsrättigheter får man upp en dialogruta där man måste godkänna åtgärden. En säkerhetsåtgärd som ska försvåra möjligheten för skadlig kod att ändra viktiga delar av operativsystemet.

I bloggen beskriver Rutkowska att när man får upp en dialogruta som frågar om man vill installera ett program så står man inför två val. Antingen körs programmet med administratörsrättigheter, eller så körs det inte överhuvudtaget.

- Det innebär att om du laddat ned ett kostnadsfritt Tetris, så måste installationen köras som administrator, vilket ger fulla rättigheter att ändra inte bara i filsystemet och registret, men också ger tillträde till operativsystemets kärna! Varför ska en installation av Tetris ges de rättigheterna?

Rutkowska efterfrågar därför möjligheten att välja om man fullt ut litar på ett program eller bara ge det möjligheter att skapa en katalog med filer. I XP går det att göra genom att ge sitt användarkonto begränsade rättigheter och då ge det möjligheter att skapa kataloger men inte ge tillträde till registret eller kärnan.

Källa: Invisible Things.

Mer om UAC på Microsofts webbplats.