Microsoft устранила серьезный недостаток в октябрьском наборе обновлений Windows 10. Баг присутствовал в API «broadFileSystemAccess», он мог предоставить злонамеренному разработчику приложений Universal Windows Platform (UWP) доступ ко всем пользовательским документам, фото, загрузкам и хранящимся в OneDrive файлам.
Проблема была обнаружена .NET-разработчиком Себастьеном Лаченсом. При нормальных обстоятельствах приложения UWP ограничены в доступе к определенным каталогам, однако разработчики имеют право запрашивать необходимые разрешения.
Согласно документации Microsoft, API broadFileSystemAccess предоставляет доступ ко всем файлам, к которым есть доступ у пользователя. Корпорация утверждает, что эта функция помогает разработчикам сделать свои приложения более удобными для пользователя.
«Это ограниченная возможность. При первом использовании функция запросит у пользователя требуемые права. Уровнем доступа можно управлять через опцию в настройках: Settings > Privacy > File system», — объясняет Microsoft.
Проблема безопасности заключалась в том, что до версии 1809 пользователям не выводилось никакого диалогового окна, уведомляющего о предоставлении дополнительного доступа. Таким образом, API можно было использовать для получения доступа ко всей файловой системе.
После выхода версии 1809 разработчики приложений могут столкнуться с неработоспособностью своих приложений в обновленных системах пользователей.