【软媒编译】鱼和熊掌 - Windows 7 UAC中的Bug无法修复

Win7之家（ www.win7china.com）：【软媒编译】鱼和熊掌 - Windows 7 UAC中的Bug无法修复

 Windows 7中的UAC自从Beta版本以来就一直处于风口浪尖中，而国外博客作者LongZheng自从发现了Windows 7 UAC的Bug后，一直就没停止关注过。日前，LongZheng再次撰文指出了Windows 7中UAC的漏洞是无法修复的，微软也不会去修复了。LongZheng写道：

我承认，我并未程序员，对Windows工作的内咋原理了解得也不多。但，作为一名电脑爱好者，我觉得我对UAC有着基本的了解，比如，UAC是什 么，是如何工作的以及UAC存在的原因等。但最近Windows部门主管Mark Russinovich的文章改变了我的看法。在文中，Mark Russinovich说：

“UAC弹出窗口存在的价值在于当有软件试图对系统文件进行更改时可以及时通知用户并给予用户阻止更改的机会。”

说到这，可能有人会想起几个月前有人发现的UAC Bug，还不清楚的可以跟我一起来回顾一下：

【Vista之家译】Windows 7 Beta中的UAC现Bug

【Vista之家译】Win 7 UAC问题扩大 - 可被随意关闭

【Vista之家译】UAC再添乱 - Windows 7 RC现权限Bug

但这次，Longzheng称另一个Bug出现了，而且比之前那个还要严重。

该Bug是由国外研究人员Leo Davidson发现的，黑客可以通过代码注入的方式轻松突破Windows 7中的UAC限制。也就是说，在中等UAC级别下，软件可以在不弹出UAC的情况下运行任意代码或其他需要管理员权限才能运行的程序。

关于此问题，Mark Russinovich也作出了解释：

“有些人已经发现了Windows 7中UAC的漏洞，黑客通过标准用户即可运行一些本来需要管理员身份才能运行的软件。也就是说，恶意软件可以利用同样的方法取得系统管理员权限。确实，跟Vista相比，Windows 7中的UAC没那么安全了。”

关于UAC的问题，可以说是摆在微软面前的一大难题，微软已经无法去修复此问题了，因为这不是技术上的问题了已经，而是易用性和安全性之间的矛盾。 微软唯一能做的，就是告诉用户UAC默认级别和“总是提醒”级别之间的区别。如果用户为了保证易用性原因牺牲安全性的话，那微软也无话可说。

附部分原文：

I admit, as a non-programmer, I have very little knowledge about the inner-workings of Windows. However, as an enthusiast, I thought I had a basic but firm understanding of what User Account Control is, how it works, and why it exists.
...