Ошибка в Windows 10 предоставляла UWP-приложениям доступ ко всем файлам
Не привлекая лишнего внимания Microsoft устранила серьезную недоработку в многострадальной версии Windows 10 October 2018 Update, распространение которой компания приостановила несколькими неделями ранее. Речь идет об ошибке в API «broadFileSystemAccess» в Windows, предоставлявшей приложениям, разработанным для Универсальной платформы Windows (Universal Windows Platform, UWP), доступ к пользовательскому контенту, включая документы, фотографии, загрузки и файлы, хранящиеся в облаке OneDrive.
Проблему обнаружил разработчик Себастьен Лачанс (Sébastien Lachance), когда созданное им приложение внезапно прекратило работать в Windows 10 October 2018 Update (версия 1809). По умолчанию UWP приложения могут получать доступ только к файлам и папкам, указанным в установочной директории программы, однако разработчики могут запрашивать доступ и к другим локациям при наличии соответствующего разрешения от пользователя.
Согласно документации Microsoft, API «broadFileSystemAccess» предоставляет доступ ко всем файлам, к которым есть доступ у пользователя. Данную функцию Microsoft позиционирует как возможность для разработчиков сделать свои приложения более удобными для пользователей.
«Это ограниченная возможность. При первом использовании функция запросит у пользователя нужный доступ. Уровень доступа можно настроить в Settings -> Privacy -> File system», - поясняет производитель.
Проблема заключается в том, что до версии 1809 на экран не выводилось диалоговое окно, уведомляющее о предоставлении дополнительного доступа. Таким образом API можно было использовать для доступа ко всей файловой системе. Microsoft уже устранила недоработку, отключив широкий доступ к файловой системе.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш