Баг в Windows 10 предоставлял приложениям UWP доступ ко всем файлам

Олег Иванов 29 Октября 2018 - 19:07

Домашние пользователи

...

Microsoft устранила серьезный недостаток в октябрьском наборе обновлений Windows 10. Баг присутствовал в API «broadFileSystemAccess», он мог предоставить злонамеренному разработчику приложений Universal Windows Platform (UWP) доступ ко всем пользовательским документам, фото, загрузкам и хранящимся в OneDrive файлам.

Проблема была обнаружена .NET-разработчиком Себастьеном Лаченсом. При нормальных обстоятельствах приложения UWP ограничены в доступе к определенным каталогам, однако разработчики имеют право запрашивать необходимые разрешения.

Согласно документации Microsoft, API broadFileSystemAccess предоставляет доступ ко всем файлам, к которым есть доступ у пользователя. Корпорация утверждает, что эта функция помогает разработчикам сделать свои приложения более удобными для пользователя.

«Это ограниченная возможность. При первом использовании функция запросит у пользователя требуемые права. Уровнем доступа можно управлять через опцию в настройках: Settings > Privacy > File system», — объясняет Microsoft.

Проблема безопасности заключалась в том, что до версии 1809 пользователям не выводилось никакого диалогового окна, уведомляющего о предоставлении дополнительного доступа. Таким образом, API можно было использовать для получения доступа ко всей файловой системе.

После выхода версии 1809 разработчики приложений могут столкнуться с неработоспособностью своих приложений в обновленных системах пользователей.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Яков Шпунт 16 Февраля 2026 - 08:45

Соответствие законодательству РФ Домашние пользователи Государство

В Магнитогорске арестовали руководителя центра Э за черный пробив

Ленинский районный суд Магнитогорска арестовал ранее задержанного начальника межрайонного отделения по противодействию экстремизму Центра по противодействию экстремизму (ЦПЭ) ГУ МВД России по Челябинской области — подполковника полиции Илью Афонасенко.

О задержании Афонасенко сообщило территориальное подразделение Следственного комитета. Ему предъявлено обвинение по ч. 3 ст. 286 УК РФ (превышение должностных полномочий).

«По версии следствия, в период с марта по апрель 2025 года подозреваемый, являясь должностным лицом и действуя из корыстной заинтересованности, выраженной в получении денежных средств, на систематической основе незаконно получал доступ к интегрированному банку данных МВД. Там он собирал персональные данные на физическое лицо и впоследствии передавал их своему знакомому», — сообщили в Следственном комитете.

Преступление было выявлено в результате совместной работы УФСБ по Челябинской области и ОЧР СБ регионального ГУ МВД России. По месту жительства и службы подозреваемого проведены обыски. По ходатайству следствия Ленинский районный суд Магнитогорска избрал ему меру пресечения в виде заключения под стражу.

В марте 2025 года за аналогичные преступления был осужден на 6,5 года лишения свободы бывший начальник ОМВД по Басманному району Москвы Сергей Андреев. Помимо превышения должностных полномочий, ему также вменили разглашение сведений, составляющих банковскую и налоговую тайну.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!