Windows 10 又搞事情了!UWP API漏洞让你的磁盘信息彻底走光
Windows 10 新漏洞又来啦~!
这一次不是文件,而是你的磁盘......
相关证据表明Windows 10系统中的UWP API存在严重的安全漏洞,允许恶意开发人员远程自由遍历你的磁盘信息,并窃取数据。UWP应用由于使用沙盒机制,并且限定在自身路径和特殊文件夹内,因此具备较高的安全系数。
通用Windows平台(Universal Windows Platform,简称UWP)是微软公司创建并在Windows 10中首次引入的一个同性质应用程序架构平台。
此软件平台的目的是帮助发展Metro样式的应用程序,便于软件可以在Windows 10和Windows 10 Mobile上运行且无需重新编写。
图片来源:meterpreter.
Microsoft UWP API 界面中的漏洞:
最初,为了方便UWP应用程序读取其他位置的文件,Microsoft为开发人员提供了现成的界面,开发人员只需要调用此接口即可。
在正常情况下,当第一次调用接口时,UWP应用程序将弹出一个请求用户权限的对话框,用户必须允许应用程序访问数据。
但是,研究人员在界面中发现了一个致命的漏洞,恶意UWP开发人员可以使用它来绕过用户权限并请求不受限制地访问文件。
虽然此漏洞不会导致UWP开发人员安装其他特洛伊木马(Trojan )病毒,但很明显,别有用心的人可以通过此漏洞窃取机密文件。
微软已修复V1809:
目前,Microsoft已确认存在此漏洞,并表示已在Windows 10版本1809中对其进行了调整以阻止此漏洞。
但是,旧版本的Windows 10仍然无法修复此漏洞。
虽然UWP应用程序需要由Microsoft审核,但是现在微软对应用商店的审查存在很多漏洞。
因此,期望Microsoft手动审查以提高安全性也是一个问题,并且尚不清楚恶意UWP应用程序是否利用了此漏洞。
为什么Windows 10 有这么多错误?
Arstechnica的Peter Bright表示,问题的根源在于软件巨头的发展过程。在Windows 10发布之后,微软转而采用软件即服务模式,每六个月发布一个新版本,并通过增加更新频率向用户推送新功能。
在过去,Windows的产品发布周期在2~3年,开发过程分为多个阶段:4~6个月设计结构、布局,6~8周开发,4个月测试、融合,并测试修复bug。在产品开发环节,这个流程会重复约2~3次。
但是Windows 10的开发过程发生了根本性的变化,这个测试阶段几乎被忽略了。
最后,Peter Bright还带来了更炸的信息~!
据内部消息来源称,微软现在允许在没有测试的情况下集成代码,开发人员允许将无法正常工作的代码合并到产品中。
这样的结果是,在产品发布后发现严重的错误,导致Microsoft需要暂停推送。因此,微软的产品质量大幅下降。
参考来源:
meterpreter
- End -
相关阅读:
1、Windows10 十月近日被曝用户文件丢失 微软已暂停推出
2、Windows10 寒冬将至?十月更新再曝bug,可导致数据丢失
往期热门资讯:
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com