Windows 10 新漏洞又來啦~!
這一次不是檔案,而是你的磁碟......
相關證據表明Windows 10系統中的UWP API存在嚴重的安全漏洞,允許惡意開發人員遠端自由遍歷你的磁碟資訊,並竊取資料。UWP應用由於使用沙盒機制,並且限定在自身路徑和特殊資料夾內,因此具備較高的安全係數。
通用Windows平臺(Universal Windows Platform,簡稱UWP)是微軟公司建立並在Windows 10中首次引入的一個同性質應用程式架構平臺。
此軟體平臺的目的是幫助發展Metro樣式的應用程式,便於軟體可以在Windows10和Windows 10 Mobile上執行且無需重新編寫。
圖片來源:meterpreter.
Microsoft UWP API 介面中的漏洞:
最初,為了方便UWP應用程式讀取其他位置的檔案,Microsoft為開發人員提供了現成的介面,開發人員只需要呼叫此介面即可。
在正常情況下,當第一次呼叫介面時,UWP應用程式將彈出一個請求使用者許可權的對話方塊,使用者必須允許應用程式訪問資料。
但是,研究人員在介面中發現了一個致命的漏洞,惡意UWP開發人員可以使用它來繞過使用者許可權並請求不受限制地訪問檔案。
雖然此漏洞不會導致UWP開發人員安裝其他特洛伊木馬(Trojan )病毒,但很明顯,別有用心的人可以通過此漏洞竊取機密檔案。
微軟已修復V1809:
目前,Microsoft已確認存在此漏洞,並表示已在Windows 10版本1809中對其進行了調整以阻止此漏洞。
但是,舊版本的Windows 10仍然無法修復此漏洞。
雖然UWP應用程式需要由Microsoft稽核,但是現在微軟對應用商店的審查存在很多漏洞。
因此,期望Microsoft手動審查以提高安全性也是一個問題,並且尚不清楚惡意UWP應用程式是否利用了此漏洞。
為什麼Windows 10 有這麼多錯誤?
Arstechnica的Peter Bright表示,問題的根源在於軟體巨頭的發展過程。在Windows 10釋出之後,微軟轉而採用軟體即服務模式,每六個月釋出一個新版本,並通過增加更新頻率向使用者推送新功能。
在過去,Windows的產品釋出週期在2~3年,開發過程分為多個階段:4~6個月設計結構、佈局,6~8周開發,4個月測試、融合,並測試修復bug。在產品開發環節,這個流程會重複約2~3次。
但是Windows 10的開發過程發生了根本性的變化,這個測試階段幾乎被忽略了。
最後,Peter Bright還帶來了更炸的資訊~!
據內部訊息來源稱,微軟現在允許在沒有測試的情況下整合程式碼,開發人員允許將無法正常工作的程式碼合併到產品中。
這樣的結果是,在產品釋出後發現嚴重的錯誤,導致Microsoft需要暫停推送。因此,微軟的產品質量大幅下降。
參考來源:
- End -
相關閱讀:
1、Windows10 十月近日被曝使用者檔案丟失 微軟已暫停推出
2、Windows10 寒冬將至?十月更新再曝bug,可導致資料丟失
更多閱讀: