Windows 10漏洞允许UWP应用程序在未经用户同意的情况下访问所有文件

微软悄悄地修补了其应用程序中的一个漏洞Windows 10具有2018年10月更新（版本1809）的操作系统，允许具有广泛文件系统权限的Microsoft Store应用程序在未经用户同意的情况下访问用户计算机上的所有文件。

在Windows 10中，微软推出了一个通用平台，名为通用Windows平台它允许应用程序在运行Windows 10的任何设备上运行，包括台式PC、Xbox、物联网、Surface Hub和混合现实耳机。

UWP应用程序可以通过在其软件包清单（配置）文件中声明所需的权限来访问特定API、图片、音乐等文件，或摄像头和麦克风等设备。
默认情况下，UWP应用程序可以访问目录，该应用程序安装在用户系统上，并且该应用程序可以存储数据（本地、漫游和临时文件夹）。

但是，为了访问系统上的其他文件，包括敏感资源，Microsoft提供了几种类型的功能，应用程序可以通过在清单文件中声明权限来使用这些功能。

一个如此广泛的能力叫做broadFileSystemAccess（广泛的文件系统访问），允许应用程序以与启动应用程序的用户相同的级别访问文件系统。

然而，据微软称，这是一种受限功能，如果使用，将在用户首次启动应用程序时触发用户同意提示，要求他们授予或拒绝该应用程序的权限。

“首次使用时，系统将提示用户允许访问。可在设置&隐私&文件系统中配置访问权限。如果您向商店提交声明此功能的应用程序，则需要提供附加说明，说明您的应用程序为什么需要此功能，以及打算如何使用它，”Microsoft文档说。

据Windows应用开发者称塞巴斯蒂安·拉汉斯，2018年10月之前的Windows 10版本更新由于一个错误，未能显示访问文件系统的权限提示，这显然让用户敏感数据暴露在从Windows应用商店下载的应用中。

换句话说，在1809版本之前，这些应用实际上可以用来访问整个文件系统，而无需提示用户许可。

Lachance在安装了Windows 2018年10月10日的更新后，他的一个使用broadFileSystemAccess权限的应用程序开始崩溃，他了解到了这个漏洞。
一位微软工程师后来解释说，由于最新的Windows 10更新通过默认关闭“broadFileSystemAccess”设置解决了提示问题，所有UWP应用可能都需要更新以防止崩溃。

为了防止崩溃，Andrew建议Windows应用程序开发人员在受影响的软件中包含一行简单的代码，这将迫使用户在启动应用程序之前接受设置中的新文件访问权限。

由于10月10日出现文件擦除错误，微软暂停了Windows 10月10日更新的推出，没有更新的用户可以通过设置→隐私→文件系统。