微软在Win10 1809版本中已解决UWP API漏洞

微软

近日,有外国媒体爆料称微软的Windows 10系统的UWP API存在一个漏洞,恶意开发者可以任意访问用户硬盘并窃取数据。

 

1.jpg

 

我们先来科普一下UWP,UWP(Universal Windows Platform简称),是Windows 10之后才有的通用应用平台,可以在Windows 10 Mobile/Surface(Windows平板电脑)/PC/Xbox/HoloLens等平台上运行,UWP不同于传统PC上的exe应用,也跟只适用于手机端的app有本质区别。它并不是为某一个终端而设计,可以在所有windows10设备上运行。UWP应用程序是在沙盒中运行,被限制在自己的特定的目录和文件夹中,因此更安全。

 

微软UWP API接口存在的漏洞:

原本为方便UWP应用程序读取其他位置的文件微软为开发者提供现成的接口,开发者只需要调用该接口即可。正常情况下初次调用该接口时UWP类应用会弹出对话框请求用户允许,也必须用户允许后应用才可访问数据。然而研究人员发现该接口存在致命漏洞,恶意的UWP开发者可利用该漏洞绕过用户权限请求无限制访问文件。尽管该漏洞并不会导致UWP开发者可以安插其他木马病毒,但显然如果别有用心的话则可以窃取机密文件等。

 

微软在V1809版中已经修复:

目前微软已经确认该漏洞的存在并称:已经在Windows 10 Version 1809版中调整API 接口对漏洞进行封堵。然而旧版本的Windows 10目前仍然未对该漏洞进行修复,所幸UWP应用上架时还需要微软进行审核才可以。但现在微软对于应用商店的审核工作其实漏洞频出,例如有开发者冒充谷歌发布UWP版的谷歌相册都被通过。所以指望微软人工审核来提高安全性其实也是个问题,现在也并不清楚是否有恶意UWP应用已经利用该漏洞。

 

访问:

微软Win10原版镜像        免激活Win10纯净版

 

相关文章