У Windows знайшли небезпечну вразливість

Проблему виявив розробник Себастьєн Лачанс (Sébastien Lachance), коли створене їм додаток раптово припинило працювати в Windows 10 October 2018 Update (версія 1809). За замовчуванням UWP програми можуть отримувати доступ тільки до файлів і папок, зазначеним у встановленій директорії програми, проте розробники можуть запитувати доступ і до інших локаціях при наявності відповідного дозволу від користувача.

Згідно документації Microsoft API «broadFileSystemAccess» надає доступ до всіх файлів, до яких є доступ у користувача. Дану функцію Microsoft позиціонує як можливість для розробників зробити свої програми більш зручними для користувачів.

«Це обмежена можливість. При першому використанні функція запросить у користувача потрібний доступ. Рівень доступу можна налаштувати в Settings -> Конфіденційність -> File system», – пояснює виробник.

Проблема полягає в тому, що до версії 1809 не виводилося на екран діалогове вікно, у якому повідомляється про надання додаткового доступу. Таким чином API можна було використовувати для доступу до всієї файлової системи. Microsoft вже усунула недопрацювання, відключивши широкий доступ до файлової системи.

   
Наука і технології