1 неделя назад 7 ноября 2018 в 23:06 38208

Себастьян Лачанс, канадский разработчик на платформе .NET, обнаружил критическую уязвимость Windows 10, присутствующую во всех версиях Windows 10 вплоть до версии под номером 1809. Уязвимость позволяет приложениям из Microsoft Store получить полный доступ ко всей файловой системе без разрешения, о чём разработчик написал в своём блоге.

Себастьян обнаружил, что его приложение на универсальной платформе Windows (англ. UWP, Universal Windows Platform), размещённое в Microsoft Store, перестало работать на Windows 10 1809, также называемой «Октябрьским обновлением 2018 года». В предыдущих версиях Windows 10 посредством метода API broadFileSystemAccess незаметно для пользователя приложение запрашивало доступ к определённым папкам, которые на самом деле не должны были быть доступны ни одному приложению по умолчанию. Однако в новой версии Windows 10 приложение не смогло получить разрешение на доступ к этим папкам — ошибка была исправлена.

В Windows 10 1809 «Майкрософт» исправила работу метода API broadFileSystemAccess, по умолчанию приложениям закрыт доступ к файлам системы и пользователя — приложения на UWP может обращаться лишь к своей собственной папке. При этом все предыдущие выпуски Windows 10 этого исправления не содержат, а значит злонамеренные разработчики приложений могут получить доступ ко всем файлам пользователя. Для корректной работы тех приложений в Windows 10 1809, которым нужен доступ ко всей файловой системе, их разработчики должны обновить манифест приложения и разослать обновление пользователям.

В тоже время рассылка обновления 1809 для Windows 10, Windows Server 2019 и ядер эквивалентных систем остановлена из-за ошибок в самом обновлении. Вплоть до начала ноября новую версию можно было установить лишь загрузив установочный образ напрямую, минуя официальные каналы «Майкрософт». Заметное число пользователей, как сообщается в корпоративном блоге «Майкрософт», пожаловались на удаление файлов из тех пользовательских папок (например, «Документы» и «Загрузки»), которые до обновления были перемещены (например, на диск D:). Также у обновления возникли проблемы со звуковыми драйверами Intel. Эти две ошибки были исправлены, но вскоре пользователи обнаружили ещё одну — распаковка ZIP-архивом средствами «Проводника» Windows 1809 приводила к непредсказуемым результатам, архив мог не распаковаться или без спроса переписать похожие файлы.

Аналитики связывают значительное ухудшение качества Windows 10 и других продуктов «Майкрософт» с увольнением 18 000 человек в 2014 году, в ходе которого были уволены все инженеры-тестировщики, включая известного технического блогера Barnacules. Тестирование легло на плечи самих разработчиков, а также пользователей, которые принимают участие в программах Insider Preview по разным продуктам компании. Одновременно с этим фокус с развития Windows внутри компании полностью сменился на сдачу в аренду облачных сервисов, включая Windows Azure.

Никто не прокомментировал материал. Есть мысли?