示意圖,與新聞事件無關。

一名.NET開發人員Sébastien Lachance上周揭露,微軟在本月初釋出的Windows 10 October 2018 Update(Build 1809)悄悄修補了一個臭蟲,且該臭蟲將讓通用視窗平台(Universal Windows Platform,UWP)程式能夠存取所有的檔案。

UWP程式原本就可存取特定的檔案系統,如應用程式安裝目錄(Application install directory)、應用程式的資料存放處(Application data locations)、外接裝置(Removable devices)及使用者的下載文件匣(User's Downloads folder)。

若要存取其它的檔案或文件夾,要不就得在程式的安裝資訊檔(manifest)中宣告,或者是呼叫File Picker讓使用者選擇允許程式存取的檔案及文件夾,若要以broadFileSystemAccess API存取系統上的所有檔案,包括文件、圖片、照片、下載、桌面或OneDrive等,必須在首次啟用時取得使用者的授權。

而Lachance即發現Build 1809之前的Windows版本含有一個臭蟲,讓程式可未經使用者授權直接取用broadFileSystemAccess API。

Lachance是意外發現該臭蟲的,他打造了一個企業營運程式(LOB),該程式必須使用broadFileSystemAccess API來存取存放在C:\myAppData中的資料,當他發現執行該程式完全不需要取得授權時還感到很開心,一直到Build 1809出爐之後,只要執行該程式就會當掉,才知道微軟在預設中把broadFileSystemAccess關掉了。

雖然微軟在10月2日釋出的Windows 10 October 2018 Update修補了此一臭蟲,但因傳出會刪除用戶檔案的災情,使得微軟在一周內緊急將該版本撤下,且迄今尚未重新上架,意謂著該臭蟲仍然存在於許多人的Windows 10中。

Lachance則建議使用者可透過Windows 10中的設定-隱私-檔案系統中,檢視及管理可存取檔案系統的UWP程式。


Advertisement

更多 iThome相關內容