У Windows знайшли небезпечну вразливість

ВідБуковина Онлайн

Лис 1, 2018

Не привертаючи зайвої уваги Microsoft усунула серйозну прогалину в багатостраждальній версії Windows 10 October 2018 Update, поширення якої компанія призупинила кількома тижнями раніше.

 

Мова йде про помилку API «broadFileSystemAccess» в Windows, надавала додатками, розробленими для Універсальної платформи Windows (Universal Windows Platform, UWP), доступ до призначеного для користувача контенту, включаючи документи, фотографії, завантаження і файли, що зберігаються в хмарі OneDrive.

Проблему виявив розробник Себастьєн Лачанс (Sébastien Lachance), коли створене їм додаток раптово припинило працювати в Windows 10 October 2018 Update (версія 1809). За замовчуванням UWP програми можуть отримувати доступ тільки до файлів і папок, зазначеним у встановленій директорії програми, проте розробники можуть запитувати доступ і до інших локаціях при наявності відповідного дозволу від користувача.

Згідно документації Microsoft API «broadFileSystemAccess» надає доступ до всіх файлів, до яких є доступ у користувача. Дану функцію Microsoft позиціонує як можливість для розробників зробити свої програми більш зручними для користувачів.

«Це обмежена можливість. При першому використанні функція запросить у користувача потрібний доступ. Рівень доступу можна налаштувати в Settings -> Конфіденційність -> File system», – пояснює виробник.

Проблема полягає в тому, що до версії 1809 не виводилося на екран діалогове вікно, у якому повідомляється про надання додаткового доступу. Таким чином API можна було використовувати для доступу до всієї файлової системи. Microsoft вже усунула недопрацювання, відключивши широкий доступ до файлової системи.

   
Наука і технології

Залишити відповідь