Zurecht.

Ein Update-Dienst kann - wenn er eine Lücke hat - dazu genutzt werden, ein System zu kompromittieren. Und das im Wurstfall (worst case) ohne Eingriff des Users. Beim Installer kommt zwangsläufig die UAC dazwischen.

Ich würde jedoch eher eine kleine Update-Exe vorschlagen. Die per elevation starten, diese stoppt dann die Anwendung (wenn man RICHTIG userfriendly sein will: Anwendungsstatus via Application Recovery API speichern), updatet sie, und startet sie dann mit normalen Rechten neu (wenn man Application Recovery nutzt lädt diese dann den alten Anwendungsstatus neu und der User kann genau dort weiterarbeiten, wo er das Update angestossen hat).