آسیب‌پذیری که در ویندوز ۱۰ وجود داشت و برنامه‌های UWP به تمامی فایل‌های کاربر دسترسی داشتند

 

شرکت مایکروسافت در به‌روزرسانی امنیتی ماه اکتبر بی‌سروصدا در ویندوز ۱۰ نسخه‌ی ۱۸۰۹ یک آسیب‌پذیری را وصله کرده است. بهره‌برداری از این آسیب‌پذیری به برنامه‌های کاربردی در فروشگاه مایکروسافت اجازه می‌داد با مجوزهای فایل سیستم، به تمامی فایل‌های موجود بر روی سیستم کاربر بدون رضایت او دسترسی داشته باشند. در ویندوز ۱۰ مایکروسافت بستری به نام بستر ویندوز جهانی (UWP) را معرفی کرد که برنامه‌های کاربردی اجازه می‌داد بر روی هر دستگاهی که ویندوز ۱۰ نصب بود، اجرا شوند. 


برنامه‌های کاربردی UWP  این توانایی را داشتند تا به واسط‌های برنامه‌نویسی ویژه، فایل‌هایی مانند تصاویر و موزیک و یا دستگاه‌هایی مانند دوربین و میکروفون با تعریف کردن مجوزها در فایل‌های پیکربندی آن‌ها دسترسی داشته باشند. به‌طور پیش‌فرض، برنامه‌های UWP  تنها می‌توانند به دایرکتوری‌هایی که در آن نصب شده‌اند و همچنین برای ذخیره‌ی داده از آن استفاده می‌کنند، دسترسی داشته باشند. برای دسترسی به فایل‌های دیگر، مایکروسافت یک سری قابلیت‌ها را برای این برنامه‌ها تعبیه دیده که می‌توانند مجوزهای مربوط به آن فایل را در فایل مانیفست تعریف کنند. این قابلیت و دسترسی گسترده broadFileSystemAccess نام داشته که به برنامه‌ی کاربردی اجازه می‌دهد به فایل سیستمی در همان سطح که اجرا می‌شود، دسترسی داشته باشد. 


با این حال مایکروسافت اعلام کرده این ویژگی یک قابلیت محدودشده است که پیش از اعطای مجوز، رضایت‌نامه‌ای در قالب یک اعلان به کاربر نمایش داده می‌شود که می‌تواند آن را قبول و یا رد کند. به گفته‌ی توسعه‌دهنده‌ی مایکروسافت، در نسخه‌های قبلی ویندوز ۱۰ که به‌روزرسانی‌های اکتبر را دریافت نکرده‌اند، این اعلان به کاربر نمایش داده نمی‌شد و تمامی فایل‌های حساس کاربر در اختیار برنامه‌هایی قرار می‌گرفت که از فروشگاه مایکروسافت دانلود شده‌اند. به دلیل اینکه به‌خاطر یک اشکال حذف کردن فایل، مایکروسافت انتشار به‌روزرسانی اکتبر برای ویندوز ۱۰ را متوقف کرده است، کاربرانی که این به‌روزرسانی‌ها را دریافت نکرده‌اند می‌توانند دسترسی‌های برنامه‌های UWP  به فایل سیستم را از مسیر Settings → Privacy → File system محدود کنند.
 

منبع

پست‌های مشابه

Leave a Comment