Баг в Windows 10 предоставлял приложениям UWP доступ ко всем файлам

Баг в Windows 10 предоставлял приложениям UWP доступ ко всем файлам

Microsoft устранила серьезный недостаток в октябрьском наборе обновлений Windows 10. Баг присутствовал в API «broadFileSystemAccess», он мог предоставить злонамеренному разработчику приложений Universal Windows Platform (UWP) доступ ко всем пользовательским документам, фото, загрузкам и хранящимся в OneDrive файлам.

Проблема была обнаружена .NET-разработчиком Себастьеном Лаченсом. При нормальных обстоятельствах приложения UWP ограничены в доступе к определенным каталогам, однако разработчики имеют право запрашивать необходимые разрешения.

Согласно документации Microsoft, API broadFileSystemAccess предоставляет доступ ко всем файлам, к которым есть доступ у пользователя. Корпорация утверждает, что эта функция помогает разработчикам сделать свои приложения более удобными для пользователя.

«Это ограниченная возможность. При первом использовании функция запросит у пользователя требуемые права. Уровнем доступа можно управлять через опцию в настройках: Settings > Privacy > File system», — объясняет Microsoft.

Проблема безопасности заключалась в том, что до версии 1809 пользователям не выводилось никакого диалогового окна, уведомляющего о предоставлении дополнительного доступа. Таким образом, API можно было использовать для получения доступа ко всей файловой системе.

После выхода версии 1809 разработчики приложений могут столкнуться с неработоспособностью своих приложений в обновленных системах пользователей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google призывает пользователей Microsoft Edge перейти на Chrome

Передел рынка браузеров между двумя гигантами разгорается с новыми силами — теперь навязчивое уведомление в официальном магазине Chrome Web Store призывает пользователей Microsoft Edge перейти на Google Chrome.

В начале этого месяца Microsoft тоже отметилась агрессивным продвижением новой версии своего браузера. Для этого техногигант использовал меню «Пуск», агитируя всех пользователей Firefox попробовать Edge.

Теперь Google решил воплотить схожую схему переманивая юзеров, однако для этого используется сервис Chrome Web Store, на страницах которого размещены расширения для интернет-обозревателя.

При этом в уведомлении отмечается, что Chrome обеспечит лучшую безопасность при работе с аддонами:

«Google рекомендует перейти на Chrome, чтобы обеспечить безопасную работу с расширениями».

Примечательно, что как Chrome, так и Edge в качестве базы используют Chromium. Значит, Chrome Web Store вычисляет пользователей браузера от Microsoft по user-agent и другим специфическим характеристикам.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru