Windows 10 新漏洞又来啦~！

这一次不是文件，而是你的磁盘......

相关证据表明Windows 10系统中的UWP API存在严重的安全漏洞，允许恶意开发人员远程自由遍历你的磁盘信息，并窃取数据。UWP应用由于使用沙盒机制，并且限定在自身路径和特殊文件夹内，因此具备较高的安全系数。

通用Windows平台（Universal Windows Platform，简称UWP）是微软公司创建并在Windows 10中首次引入的一个同性质应用程序架构平台。

此软件平台的目的是帮助发展Metro样式的应用程序，便于软件可以在Windows 10和Windows 10 Mobile上运行且无需重新编写。

图片来源：meterpreter.

最初，为了方便UWP应用程序读取其他位置的文件，Microsoft为开发人员提供了现成的界面，开发人员只需要调用此接口即可。

在正常情况下，当第一次调用接口时，UWP应用程序将弹出一个请求用户权限的对话框，用户必须允许应用程序访问数据。

但是，研究人员在界面中发现了一个致命的漏洞，恶意UWP开发人员可以使用它来绕过用户权限并请求不受限制地访问文件。

虽然此漏洞不会导致UWP开发人员安装其他特洛伊木马（Trojan ）病毒，但很明显，别有用心的人可以通过此漏洞窃取机密文件。

目前，Microsoft已确认存在此漏洞，并表示已在Windows 10版本1809中对其进行了调整以阻止此漏洞。

但是，旧版本的Windows 10仍然无法修复此漏洞。

虽然UWP应用程序需要由Microsoft审核，但是现在微软对应用商店的审查存在很多漏洞。

因此，期望Microsoft手动审查以提高安全性也是一个问题，并且尚不清楚恶意UWP应用程序是否利用了此漏洞。

Arstechnica的Peter Bright表示，问题的根源在于软件巨头的发展过程。在Windows 10发布之后，微软转而采用软件即服务模式，每六个月发布一个新版本，并通过增加更新频率向用户推送新功能。

在过去，Windows的产品发布周期在2～3年，开发过程分为多个阶段：4～6个月设计结构、布局，6～8周开发，4个月测试、融合，并测试修复bug。在产品开发环节，这个流程会重复约2～3次。

但是Windows 10的开发过程发生了根本性的变化，这个测试阶段几乎被忽略了。

最后，Peter Bright还带来了更炸的信息~！

据内部消息来源称，微软现在允许在没有测试的情况下集成代码，开发人员允许将无法正常工作的代码合并到产品中。

这样的结果是，在产品发布后发现严重的错误，导致Microsoft需要暂停推送。因此，微软的产品质量大幅下降。

参考来源：

• meterpreter

  
  

相关阅读：

1、Windows10 十月近日被曝用户文件丢失 微软已暂停推出

2、Windows10 寒冬将至？十月更新再曝bug，可导致数据丢失

往期热门资讯：                                        

公众号ID：ikanxue
官方微博：看雪安全

商务合作：wsc@kanxue.com