Windows 10 又搞事情了！UWP API漏洞讓你的磁碟資訊徹底走光

圖片來源：meterpreter.

最初，為了方便UWP應用程式讀取其他位置的檔案，Microsoft為開發人員提供了現成的介面，開發人員只需要呼叫此介面即可。

在正常情況下，當第一次呼叫介面時，UWP應用程式將彈出一個請求使用者許可權的對話方塊，使用者必須允許應用程式訪問資料。

但是，研究人員在介面中發現了一個致命的漏洞，惡意UWP開發人員可以使用它來繞過使用者許可權並請求不受限制地訪問檔案。

雖然此漏洞不會導致UWP開發人員安裝其他特洛伊木馬（Trojan ）病毒，但很明顯，別有用心的人可以通過此漏洞竊取機密檔案。

目前，Microsoft已確認存在此漏洞，並表示已在Windows 10版本1809中對其進行了調整以阻止此漏洞。

但是，舊版本的Windows 10仍然無法修復此漏洞。

雖然UWP應用程式需要由Microsoft稽核，但是現在微軟對應用商店的審查存在很多漏洞。

因此，期望Microsoft手動審查以提高安全性也是一個問題，並且尚不清楚惡意UWP應用程式是否利用了此漏洞。

Arstechnica的Peter Bright表示，問題的根源在於軟體巨頭的發展過程。在Windows 10釋出之後，微軟轉而採用軟體即服務模式，每六個月釋出一個新版本，並通過增加更新頻率向使用者推送新功能。

在過去，Windows的產品釋出週期在2～3年，開發過程分為多個階段：4～6個月設計結構、佈局，6～8周開發，4個月測試、融合，並測試修復bug。在產品開發環節，這個流程會重複約2～3次。

但是Windows 10的開發過程發生了根本性的變化，這個測試階段幾乎被忽略了。

最後，Peter Bright還帶來了更炸的資訊~！

據內部訊息來源稱，微軟現在允許在沒有測試的情況下整合程式碼，開發人員允許將無法正常工作的程式碼合併到產品中。

這樣的結果是，在產品釋出後發現嚴重的錯誤，導致Microsoft需要暫停推送。因此，微軟的產品質量大幅下降。

參考來源：

• meterpreter
  

- End -

相關閱讀：

1、Windows10 十月近日被曝使用者檔案丟失 微軟已暫停推出

2、Windows10 寒冬將至？十月更新再曝bug，可導致資料丟失

更多閱讀：