De user account control in Windows Vista is geen beveiligingsfunctie, maar een middel om ontwikkelaars betere software te laten maken. Dat stelt Mark Russinovich van Microsofts Platform and Services-divisie.
Volgens hem worden Microsofts bedoelingen achter Vista's user account control verkeerd geinterpreteerd. Russinovich legt uit dat elke gebruiker door Vista's user account control (uac) dus ook de administrator standaard rechten heeft. Wanneer een uitvoerbaar bestand wordt geopend, dan kan een gebruiker de uitvoer van dit bestand toestaan of weigeren. Is de gebruiker niet als administrator aangemeld maar wil hij het bestand wel toestaan, dan dient ook een wachtwoord te worden ingevoerd.
Volgens Russinovich heeft Microsoft Vista zo ontworpen, dat 'integrity level breaches' worden toegestaan. Dit houdt in dat een proces met een lage integriteit een object mag creeren dat gebruikt wordt door een proces met een hogere integriteit.
"Vista doet concessies aan de gebruiksvriendelijkheid", aldus Russinovich. "Zowel de user account control als de Protected Mode in Internet Explorer zetten de deur op een kier om applicaties compatibel te houden en het gebruik te vergemakkelijken."
Juist omdat de door uac gecreerde 'omheining' niet helemaal waterdicht is, mag uac niet als een beveiligingsfunctie van Vista worden beschouwd, stelt de Microsoft-ontwikkelaar. "Vinden aanvallers hun weg door uac, dan is dat dus geen bug van Vista of die aanval nu makkelijk ging of niet."
Volgens Russinovich zijn zowel de user account control als de 'integrity levels' ontworpen om 'de manier waarop Windows-software wordt ontwikkeld' te verbeteren.
"Waarom hebben we al die moeite hebben gedaan om uac en integrity levels te introduceren? Om een wereld te creëren waarin iedereen een standaardgebruiker is en waarin software voor standaardgebruikers wordt geschreven."
Vakgenoten van Russinovich, die eerder kritiek uitten op het ontwerp van Vista's user account control, reageren verbaasd.
De Poolse beveiligingsexpert Joanna Rutkowska, bijvoorbeeld, zegt zich vooral te ergeren aan de houding van Microsoft.
"Is dit een grap?", vraagt ze zich af op haar blog. "We herinneren ons allemaal wat Microsoft heeft gezegd over het belang van veiligheid en de manier waarop al die 'coole', nieuwe functies als uac en de Protected Mode in IE de wereld een stuk veiliger zouden maken. En wat horen we nu? Dat de belangrijkste beveiligingstechnologie, uac, in werkelijkheid geen beveiligingstechnologie is!"
Rutkowska gaf eerder aan niet gelukkig te zijn met uac. Vista-gebruikers zijn namelijk verplicht om uitvoerbare bestanden met administratorrechten uit te voeren, ook als ze dat niet willen. Verder worden, zoals Mark Russinovich erkent, 'integrity level breaches' toegestaan.
Het eerste probleem is onoverkomelijk, geeft Rutkowska toe. Maar het tweede is volgens haar 'simpelweg een bug in uac'.