hikenさんからのメール
Aアプリは、UACのボタン選択も可能です。しかし、UACの窓が閉じ、システムの復元の窓が開きますと、マウスイベントができなくなります。なぜか、キーボードイベントのAlt+F4は受け付け、むりやりシステムの復元の窓を閉じることはできます。
あれれ?てっきり昇格ダイアログのボタンが押せないだと思っていたら、押せる?!画面が暗くなったり、IME バーが出てきたりするので、UI があるところでしか動かない、別のコンテキストで動いているのだと思っていたのですが、押せてしまうの?!
それって、まずくないですか?
hikenさんは、たまたま「システムの復元」を行いました。でも、マルウェアが、自分自身を昇格させることができる、そんな想像をしてしまいましたよ??
それで、元々の質問。これに答えてなかった。
マニフェストのuiAccess="true"と署名が必要なのでしょうか?
と言う問いは、「yes」であり、「no」です。社本さんのコメントにあるように、マイクロソフトへの申請が必要です(なのだそうです)。
社本さんのコメントにある、UIPI(ユーザーインターフェイス特権の分離)について、調べてみてください。私も、この辺で、少しだけ取り上げています。元にしている文書は、ダウンロードセンターからダウンロードしてください。日本語では、アプリケーション互換性解説書に、記述があります。確認してください。ダウンロードページが見つからなかったのでリンクは張りませんが、『アプリケーション開発者向け Windows Vista 対応アプリケーションの互換性』(ファイル名 Windows_Vista_application_compatibility_paper.doc)という文書があります。これも、目を通しておかれることを勧めます。
最後に、昇格ダイアログのボタンを押せるというのは重大な脆弱性だと思うので、是非、マイクロソフトに連絡してください。窓口は、脆弱性に関する情報をお寄せくださいのページで良いと思います。
投稿日時 : 2008年2月27日 23:07