У Windows знайшли небезпечну вразливість

Не привертаючи зайвої уваги Microsoft усунула серйозну прогалину в багатостраждальній версії Windows 10 October 2018 Update, поширення якої компанія призупинила кількома тижнями раніше.

 

Мова йде про помилку API «broadFileSystemAccess» в Windows, надавала додатками, розробленими для Універсальної платформи Windows (Universal Windows Platform, UWP), доступ до призначеного для користувача контенту, включаючи документи, фотографії, завантаження і файли, що зберігаються в хмарі OneDrive.

Проблему виявив розробник Себастьєн Лачанс (Sébastien Lachance), коли створене їм додаток раптово припинило працювати в Windows 10 October 2018 Update (версія 1809). За замовчуванням UWP програми можуть отримувати доступ тільки до файлів і папок, зазначеним у встановленій директорії програми, проте розробники можуть запитувати доступ і до інших локаціях при наявності відповідного дозволу від користувача.

Згідно документації Microsoft API «broadFileSystemAccess» надає доступ до всіх файлів, до яких є доступ у користувача. Дану функцію Microsoft позиціонує як можливість для розробників зробити свої програми більш зручними для користувачів.

«Це обмежена можливість. При першому використанні функція запросить у користувача потрібний доступ. Рівень доступу можна налаштувати в Settings -> Конфіденційність -> File system», – пояснює виробник.

Проблема полягає в тому, що до версії 1809 не виводилося на екран діалогове вікно, у якому повідомляється про надання додаткового доступу. Таким чином API можна було використовувати для доступу до всієї файлової системи. Microsoft вже усунула недопрацювання, відключивши широкий доступ до файлової системи.

   
Свіжі новини науки – Сьогодні – VlastiNet