近日，有外國媒體爆料稱微軟的Windows 10系統(tǒng)的UWP API存在一個漏洞，惡意開發(fā)者可以任意訪問用戶硬盤并竊取數(shù)據(jù)。

我們先來科普一下UWP，UWP（Universal Windows Platform簡稱），是Windows 10之后才有的通用應(yīng)用平臺，可以在Windows 10 Mobile/Surface（Windows平板電腦）/PC/Xbox/HoloLens等平臺上運行，UWP不同于傳統(tǒng)PC上的exe應(yīng)用，也跟只適用于手機端的app有本質(zhì)區(qū)別。它并不是為某一個終端而設(shè)計，可以在所有windows10設(shè)備上運行。UWP應(yīng)用程序是在沙盒中運行，被限制在自己的特定的目錄和文件夾中，因此更安全。

微軟UWP API接口存在的漏洞：

原本為方便UWP應(yīng)用程序讀取其他位置的文件微軟為開發(fā)者提供現(xiàn)成的接口，開發(fā)者只需要調(diào)用該接口即可。正常情況下初次調(diào)用該接口時UWP類應(yīng)用會彈出對話框請求用戶允許，也必須用戶允許后應(yīng)用才可訪問數(shù)據(jù)。然而研究人員發(fā)現(xiàn)該接口存在致命漏洞，惡意的UWP開發(fā)者可利用該漏洞繞過用戶權(quán)限請求無限制訪問文件。盡管該漏洞并不會導(dǎo)致UWP開發(fā)者可以安插其他木馬病毒，但顯然如果別有用心的話則可以竊取機密文件等。

微軟在V1809版中已經(jīng)修復(fù)：

目前微軟已經(jīng)確認該漏洞的存在并稱：已經(jīng)在Windows 10 Version 1809版中調(diào)整API 接口對漏洞進行封堵。然而舊版本的Windows 10目前仍然未對該漏洞進行修復(fù)，所幸UWP應(yīng)用上架時還需要微軟進行審核才可以。但現(xiàn)在微軟對于應(yīng)用商店的審核工作其實漏洞頻出，例如有開發(fā)者冒充谷歌發(fā)布UWP版的谷歌相冊都被通過。所以指望微軟人工審核來提高安全性其實也是個問題，現(xiàn)在也并不清楚是否有惡意UWP應(yīng)用已經(jīng)利用該漏洞。

訪問：

微軟Win10原版鏡像        免激活Win10純凈版