查看原文
其他

Windows 10 又搞事情了!UWP API漏洞让你的磁盘信息彻底走光

小雪 看雪学院 2019-05-27


Windows 10 新漏洞又来啦~!


这一次不是文件,而是你的磁盘......


相关证据表明Windows 10系统中的UWP API存在严重的安全漏洞,允许恶意开发人员远程自由遍历你的磁盘信息,并窃取数据。UWP应用由于使用沙盒机制,并且限定在自身路径和特殊文件夹内,因此具备较高的安全系数。


通用Windows平台(Universal Windows Platform,简称UWP)是微软公司创建并在Windows 10中首次引入的一个同性质应用程序架构平台。


此软件平台的目的是帮助发展Metro样式的应用程序,便于软件可以在Windows 10和Windows 10 Mobile上运行且无需重新编写。


图片来源:meterpreter.



Microsoft UWP API 界面中的漏洞:


最初,为了方便UWP应用程序读取其他位置的文件,Microsoft为开发人员提供了现成的界面,开发人员只需要调用此接口即可。


在正常情况下,当第一次调用接口时,UWP应用程序将弹出一个请求用户权限的对话框,用户必须允许应用程序访问数据。


但是,研究人员在界面中发现了一个致命的漏洞,恶意UWP开发人员可以使用它来绕过用户权限并请求不受限制地访问文件。


虽然此漏洞不会导致UWP开发人员安装其他特洛伊木马(Trojan )病毒,但很明显,别有用心的人可以通过此漏洞窃取机密文件。


微软已修复V1809:

目前,Microsoft已确认存在此漏洞,并表示已在Windows 10版本1809中对其进行了调整以阻止此漏洞。


但是,旧版本的Windows 10仍然无法修复此漏洞。


虽然UWP应用程序需要由Microsoft审核,但是现在微软对应用商店的审查存在很多漏洞。


因此,期望Microsoft手动审查以提高安全性也是一个问题,并且尚不清楚恶意UWP应用程序是否利用了此漏洞。



为什么Windows 10 有这么多错误?


Arstechnica的Peter Bright表示,问题的根源在于软件巨头的发展过程。在Windows 10发布之后,微软转而采用软件即服务模式,每六个月发布一个新版本,并通过增加更新频率向用户推送新功能。


在过去,Windows的产品发布周期在2~3年,开发过程分为多个阶段:4~6个月设计结构、布局,6~8周开发,4个月测试、融合,并测试修复bug。在产品开发环节,这个流程会重复约2~3次。

但是Windows 10的开发过程发生了根本性的变化,这个测试阶段几乎被忽略了。


最后,Peter Bright还带来了更的信息~!


据内部消息来源称,微软现在允许在没有测试的情况下集成代码,开发人员允许将无法正常工作的代码合并到产品中。



这样的结果是,在产品发布后发现严重的错误,导致Microsoft需要暂停推送。因此,微软的产品质量大幅下降。



参考来源:

  • meterpreter



- End -



相关阅读:


1、Windows10 十月近日被曝用户文件丢失 微软已暂停推出


2、Windows10 寒冬将至?十月更新再曝bug,可导致数据丢失



往期热门资讯:                                        




公众号ID:ikanxue
官方微博:看雪安全

商务合作:wsc@kanxue.com

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存