Microsoft từ chối vá một lỗ hổng trong Windows 7

Một chuyên gia bảo mật độc lập vừa cho biết Microsoft sẽ không sửa chữa lỗ hổng trong tính năng Kiểm soát tài khoản người dùng (UAC) của Windows 7 mặc dù đã được cảnh báo trước.

Giao diện Kiểm soát tài khoản người dùng (UAC) trong Windows 7.

Long Zheng là người đầu tiên phát hiện ra lỗ hổng bảo mật trên. Chuyên gia này thậm chí còn post lên mạng một đoạn video về cách thức khai thác lỗ hổng UAC trong Windows 7. Ở thời điểm này, Microsoft gần như đã hoàn thành phần mã của Windows 7 và chuẩn bị chuyển hệ điều hành này tới dây chuyền sản xuất.

Zheng cũng trích lời một chuyên gia kỹ thuật của Microsoft cho rằng hãng không có ý định thay đổi bất cứ phần nào trong UAC. Lỗ hổng mới được cho rằng sẽ khiến cho Windows 7 kém an toàn hơn, và có thể cho phép một người nào đó tắt tính năng UAC mà người dùng không hề biết tới.

Lần đầu tiên Zheng demo về lỗ hổng trên là hồi tháng 2/2009. Khi đó Zheng nói rằng cấu hình mặc định của UAC trong Windows 7 không hề cảnh báo cho người dùng khi chúng bị thay đổi, và đây chính là một sai sót nguy hiểm của hệ điều hành này. Zheng cho rằng, từ lỗ hổng này tin tặc có thể điều khiển từ xa tới hệ thống và thực thi các mã độ hại chiếm quyền điều khiển PC.

UAC từng là một tính năng đầy tranh cãi kể từ khi Microsoft giới thiệu chúng trong Windows Vista nhằm tăng cường khả năng bảo mật, và trao cho người dùng chính của hệ thống nhiều quyền điểu khiển hơn đối với ứng dụng và cấu hình. Tuy nhiên, UAC cũng ngăn không cho người dùng không có quyền quản trị được tiếp cận và thay đổi các cấu hình không được phép trên hệ thống.