由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
Hardware版 - Windows 10 又搞事情了!UWP API漏洞让你的磁盘信息彻底走光 小雪 看雪学院 今天 Windows 10 新漏洞又来啦~! 这一次不是文件,而是你的磁盘...... 相关证据表明Windows 10系统中的UWP API存在严重的安全漏洞,允许恶意开发人员远程自由遍历你的磁盘信息,并窃取数据。UWP应用由于使用沙盒机制,并且限定在自身路径和特殊文件夹内,因此具备较高的安全系数。 通用Windows平台(Universal Windows Platform,简称UWP)是微软公司创建并在Windows 10中首次引入的一个同性质应用程序架构平台。 此软件平台的目的是帮助发展Metro样式的应用程序,便于软件可以在Windows 10和Windows 10 Mobile上运行且无需重新编写。 图片来源:meterpreter. Microsoft UWP API 界面中的漏洞: 最初,为了方便UWP应用程序读取其他位置的文件,Microsoft为开发人员提供了现成的界面,开发人员只需要调用此接口即可。 在正常情况下,当第一次调用接口时,UWP应用程序将弹出一个请求用户权限的对话框,用户必须允许应用程序访问数据。 但是,研究人员在界面中发现了一个致命的漏洞,恶意UWP开发人员可以使用它来绕过用户权限并请求不受限制地访问文件。 虽然此漏洞不会导致UWP开发人员安装其他特洛伊木马(Trojan )病毒,但很明显,别有用心的人可以通过此漏洞窃取机密文件。 微软已修复V1809: 目前,Microsoft已确认存在此漏洞,并表示已在Windows 10版本1809中对其进行了调整以阻止此漏洞。 但是,旧版本的Windows 10仍然无法修复此漏洞。 虽然UWP应用程序需要由Microsoft审核,但是现在微软对应用商店的审查存在很多漏洞。 因此,期望Microsoft手动审查以提高安全性也是一个问题,并且尚不清楚恶意UWP应用程序是否利用了此漏洞。 为什么Windows 10 有这么多错误? Arstechnica的Peter Bright表示,问题的根源在于软件巨头的发展过程。在Windows 10发布之后,微软转而采用软件即服务模式,每六个月发布一个新版本,并通过增加更新频率向用户推送新功能。 在过去,Windows的产品发布周期在2~3年,开发过程分为多个阶段:4~6个月设计结构、布局,6~8周开发,4个月测试、融合,并测试修复bug。在产品开发环节,这个流程会重复约2~3次。 但是Windows 10的开发过程发生了根本性的变化,这个测试阶段几乎被忽略了。 最后,Peter Bright还带来了更炸的信息~! 据内部消息来源称,微软现在允许在没有测试的情况下集成代码,开发人员允许将无法正常工作的代码合并到产品中。 这样的结果是,在产品发布后发现严重的错误,导致Microsoft需要暂停推送。因此,微软的产品质量大幅下降。 参考来源: meterpreter
相关主题
超过4g的内存怎么用?部分泄露的Windows7 RC版含有木马
U盘如何分区??[合集] 300GB ATA 硬盘在enclosure里XP不认
应用程序原来在 win xp 如何转换到 win 7 ?[合集] FAT32的32G限制
微软官方补丁KB2852386帮你干掉可恶的WinSxS目录 zz[合集] 苹果Safari占有率不到1%
TS140装了windows 7之后怎么组raid 1硬盘?装了win7 ,现在看看osx和vista,都觉得好山寨啊。。。
Win10跑的更快吗?Windows 10与Windows 7性能对比内存的问题
NTFS硬盘, windows不认, mac却能读取。啥情况?iphone丢了 有什么别的好推荐的手机吗?
取代Intel!笔记本市场要变天:巨头携ARM疯狂反扑刻盘弱问:有没有单张容量在4G以上的光盘???
相关话题的讨论汇总
话题: windows话题: uwp话题: 漏洞话题: microsoft话题: 应用程序
进入Hardware版参与讨论
1 (共1页)
M********t
发帖数: 5032
1
Windows 10 又搞事情了!UWP API漏洞让你的磁盘信息彻底走光
小雪 看雪学院 今天
Windows 10 新漏洞又来啦~!
这一次不是文件,而是你的磁盘......
相关证据表明Windows 10系统中的UWP API存在严重的安全漏洞,允许恶意开发人员远
程自由遍历你的磁盘信息,并窃取数据。UWP应用由于使用沙盒机制,并且限定在自身
路径和特殊文件夹内,因此具备较高的安全系数。
通用Windows平台(Universal Windows Platform,简称UWP)是微软公司创建并在
Windows 10中首次引入的一个同性质应用程序架构平台。
此软件平台的目的是帮助发展Metro样式的应用程序,便于软件可以在Windows 10和
Windows 10 Mobile上运行且无需重新编写。
图片来源:meterpreter.
Microsoft UWP API 界面中的漏洞:
最初,为了方便UWP应用程序读取其他位置的文件,Microsoft为开发人员提供了现成的
界面,开发人员只需要调用此接口即可。
在正常情况下,当第一次调用接口时,UWP应用程序将弹出一个请求用户权限的对话框
,用户必须允许应用程序访问数据。
但是,研究人员在界面中发现了一个致命的漏洞,恶意UWP开发人员可以使用它来绕过
用户权限并请求不受限制地访问文件。
虽然此漏洞不会导致UWP开发人员安装其他特洛伊木马(Trojan )病毒,但很明显,别
有用心的人可以通过此漏洞窃取机密文件。
微软已修复V1809:
目前,Microsoft已确认存在此漏洞,并表示已在Windows 10版本1809中对其进行了调
整以阻止此漏洞。
但是,旧版本的Windows 10仍然无法修复此漏洞。
虽然UWP应用程序需要由Microsoft审核,但是现在微软对应用商店的审查存在很多漏洞。
因此,期望Microsoft手动审查以提高安全性也是一个问题,并且尚不清楚恶意UWP应用
程序是否利用了此漏洞。
为什么Windows 10 有这么多错误?
Arstechnica的Peter Bright表示,问题的根源在于软件巨头的发展过程。在Windows
10发布之后,微软转而采用软件即服务模式,每六个月发布一个新版本,并通过增加更
新频率向用户推送新功能。
在过去,Windows的产品发布周期在2~3年,开发过程分为多个阶段:4~6个月设计结
构、布局,6~8周开发,4个月测试、融合,并测试修复bug。在产品开发环节,这个流
程会重复约2~3次。
但是Windows 10的开发过程发生了根本性的变化,这个测试阶段几乎被忽略了。
最后,Peter Bright还带来了更炸的信息~!
据内部消息来源称,微软现在允许在没有测试的情况下集成代码,开发人员允许将无法
正常工作的代码合并到产品中。
这样的结果是,在产品发布后发现严重的错误,导致Microsoft需要暂停推送。因此,
微软的产品质量大幅下降。
参考来源:
meterpreter
f******o
发帖数: 2469
2
器人 你多虑了
M********t
发帖数: 5032
3
假作真时真亦假

【在 f******o 的大作中提到】
: 器人 你多虑了
1 (共1页)
进入Hardware版参与讨论
相关主题
这是为什么涅??TS140装了windows 7之后怎么组raid 1硬盘?
Win 7 RC 64bit or 32bitWin10跑的更快吗?Windows 10与Windows 7性能对比
cpu virtualization到底是啥?NTFS硬盘, windows不认, mac却能读取。啥情况?
ghost vista启动不了取代Intel!笔记本市场要变天:巨头携ARM疯狂反扑
超过4g的内存怎么用?部分泄露的Windows7 RC版含有木马
U盘如何分区??[合集] 300GB ATA 硬盘在enclosure里XP不认
应用程序原来在 win xp 如何转换到 win 7 ?[合集] FAT32的32G限制
微软官方补丁KB2852386帮你干掉可恶的WinSxS目录 zz[合集] 苹果Safari占有率不到1%
相关话题的讨论汇总
话题: windows话题: uwp话题: 漏洞话题: microsoft话题: 应用程序