Hardware版 - Windows 10 又搞事情了!UWP API漏洞让你的磁盘信息彻底走光 小雪 看雪学院 今天 Windows 10 新漏洞又来啦~! 这一次不是文件,而是你的磁盘...... 相关证据表明Windows 10系统中的UWP API存在严重的安全漏洞,允许恶意开发人员远程自由遍历你的磁盘信息,并窃取数据。UWP应用由于使用沙盒机制,并且限定在自身路径和特殊文件夹内,因此具备较高的安全系数。 通用Windows平台(Universal Windows Platform,简称UWP)是微软公司创建并在Windows 10中首次引入的一个同性质应用程序架构平台。 此软件平台的目的是帮助发展Metro样式的应用程序,便于软件可以在Windows 10和Windows 10 Mobile上运行且无需重新编写。 图片来源:meterpreter. Microsoft UWP API 界面中的漏洞: 最初,为了方便UWP应用程序读取其他位置的文件,Microsoft为开发人员提供了现成的界面,开发人员只需要调用此接口即可。 在正常情况下,当第一次调用接口时,UWP应用程序将弹出一个请求用户权限的对话框,用户必须允许应用程序访问数据。 但是,研究人员在界面中发现了一个致命的漏洞,恶意UWP开发人员可以使用它来绕过用户权限并请求不受限制地访问文件。 虽然此漏洞不会导致UWP开发人员安装其他特洛伊木马(Trojan )病毒,但很明显,别有用心的人可以通过此漏洞窃取机密文件。 微软已修复V1809: 目前,Microsoft已确认存在此漏洞,并表示已在Windows 10版本1809中对其进行了调整以阻止此漏洞。 但是,旧版本的Windows 10仍然无法修复此漏洞。 虽然UWP应用程序需要由Microsoft审核,但是现在微软对应用商店的审查存在很多漏洞。 因此,期望Microsoft手动审查以提高安全性也是一个问题,并且尚不清楚恶意UWP应用程序是否利用了此漏洞。 为什么Windows 10 有这么多错误? Arstechnica的Peter Bright表示,问题的根源在于软件巨头的发展过程。在Windows 10发布之后,微软转而采用软件即服务模式,每六个月发布一个新版本,并通过增加更新频率向用户推送新功能。 在过去,Windows的产品发布周期在2~3年,开发过程分为多个阶段:4~6个月设计结构、布局,6~8周开发,4个月测试、融合,并测试修复bug。在产品开发环节,这个流程会重复约2~3次。 但是Windows 10的开发过程发生了根本性的变化,这个测试阶段几乎被忽略了。 最后,Peter Bright还带来了更炸的信息~! 据内部消息来源称,微软现在允许在没有测试的情况下集成代码,开发人员允许将无法正常工作的代码合并到产品中。 这样的结果是,在产品发布后发现严重的错误,导致Microsoft需要暂停推送。因此,微软的产品质量大幅下降。 参考来源: meterpreter