热点:

    Win10漏洞让UWP程序能直接读取所有文件

      [  中关村在线 原创  ]   作者:郑伟

      Win10用户注意了,尚未升级至最新版本的赶紧去升级吧,因为在本月初发布的Windows 10 October 2018 Update(Build 1809)更新中实际针对一个高危漏洞打了补丁。

    Win10漏洞让UWP程序能直接读取所有文件
    Win10漏洞让UWP程序能直接读取所有文件

      据一名.NET开发人员Sébastien Lachance上周披露,在Win10中实际存在了一个关键漏洞可让通用视窗平台(Universal Windows Platform,UWP)程序能够调用电脑上所有的文件。

           虽然UWP程序原本就可调用特定的文件系统,如应用程序安装目录(Application install directory)、应用程序数据存放处(Application data locations)、外置设备(Removable devices)及使用者的下载文件夹(User's Downloads folder)等。但如果要访问其它的文件或文件夹,则需要在程序的安装信息文件(manifest)中宣告,或者是呼叫File Picker让使用者选择允许程序访问的文件及文件夹,若要以broadFileSystemAccess API访问系统上的所有文件,包括文档、图片、照片、下载、桌面或OneDrive等,必须在首次启用时取得使用者的授权。

      而Lachance随后则发现Build 1809之前的Windows版本中含有一个漏洞,能让程序可未经使用者授权直接取用broadFileSystemAccess API。

      据Lachance表示,其是在打造一个企业营运程序(LOB)时意外发现该漏洞的。他该程序必须使用broadFileSystemAccess API来存取存放在C:\myAppData中的数据,而当他发现执行该程序完全不需要取得授权时还感到很开心,一直到Build 1809出炉之后,只要执行该程序就会当掉,才知道微软在预设中把broadFileSystemAccess关掉了。

      因此建议用户快快通过Windows 10中的设定-隐私-文件系统中,对UWP程序进行检查和管理。然后打上相关的补丁吧。

    本文属于原创文章,如若转载,请注明来源:Win10漏洞让UWP程序能直接读取所有文件http://safe.zol.com.cn/702/7020278.html

    safe.zol.com.cn true http://safe.zol.com.cn/702/7020278.html report 1411   Win10用户注意了,尚未升级至最新版本的赶紧去升级吧,因为在本月初发布的Windows 10 October 2018 Update(Build 1809)更新中实际针对一个高危漏洞打了补丁。Win10漏洞让UWP程序能直接读取所有文件  据一名.NET开发人员Sébastien Lachance上周披露,在Win10中实...
    • 猜你喜欢
    • 最新
    • 相关
    推荐经销商
    投诉欺诈商家: 400-688-1999
    • 北京
    • 上海
    周关注排行榜
    • 防火墙
    • UTM
    • 上网行为
    • 防毒墙
    推荐问答
    提问
    0

    下载ZOL APP
    秒看最新热品