APP下载

Windows 10臭虫让UWP程式能直接存取所有档案

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息Windows 10臭虫让UWP程式能直接存取所有档案

示意图,与新闻事件无关。

一名.NET开发人员Sébastien Lachance上周揭露,微软在本月初释出的Windows 10 October 2018 Update(Build 1809)悄悄修补了一个臭虫,且该臭虫将让通用视窗平台(Universal Windows Platform,UWP)程式能够存取所有的档案。

UWP程式原本就可存取特定的档案系统,如应用程序安装目录(Application install directory)、应用程序的资料存放处(Application data locations)、外接装置(Removable devices)及使用者的下载文件匣(User‘s Downloads folder)。

若要存取其它的档案或文件夹,要不就得在程式的安装资讯档(manifest)中宣告,或者是呼叫File Picker让使用者选择允许程式存取的档案及文件夹,若要以broadFileSystemAccess API存取系统上的所有档案,包括文件、图片、照片、下载、桌面或OneDrive等,必须在首次启用时取得使用者的授权。

而Lachance即发现Build 1809之前的Windows版本含有一个臭虫,让程式可未经使用者授权直接取用broadFileSystemAccess API。

Lachance是意外发现该臭虫的,他打造了一个企业营运程式(LOB),该程式必须使用broadFileSystemAccess API来存取存放在C:\myAppData中的资料,当他发现执行该程式完全不需要取得授权时还感到很开心,一直到Build 1809出炉之后,只要执行该程式就会当掉,才知道微软在预设中把broadFileSystemAccess关掉了。

虽然微软在10月2日释出的Windows 10 October 2018 Update修补了此一臭虫,但因传出会删除用户档案的灾情,使得微软在一周内紧急将该版本撤下,且迄今尚未重新上架,意谓著该臭虫仍然存在于许多人的Windows 10中。

Lachance则建议使用者可透过Windows 10中的设定-隐私-档案系统中,检视及管理可存取档案系统的UWP程式。

2019-01-18 16:03:00

相关文章