UWP-Bug ermöglicht Apps Zugriff auf Anwenderdaten

von René Dubach

28. Oktober 2018 - Ein Fehler in der Universal Windows Platform ermöglicht es UWP-Apps, ohne Zustimmung des Users auf das lokale Dateisystem zugzugreifen. Mit dem Oktober-Update hat Microsoft jetzt einen Patch veröffentlicht.

In Microsofts Universal Windows Platform steckt offenbar ein gravierendes Sicherheitsleck, das es einer entsprechenden UWP-App ermöglicht, unbemerkt auf das komplette Dateisystem zuzugreifen. Wie "Techradar" mit Bezug auf einen Blog-Beitrag des Windows-Entwicklers Sebastien Lachance meldet, steckt der Fehler in der Broadfilesystemaccess-API, welche die Dateizugriffe steuert. Will eine UWP-App im Normalfall auf das lokale Dateisystem zugreifen, wird der User informiert und muss hierfür explizit seine Zustimmung geben. Aktuell ist dies aber offenbar nicht der Fall und den Apps wird der volle Zugriff auf das Dateisystem gewährt. Noch ist nicht bekannt, ob bereits UWP-Apps im Umlauf sind, die sich die Schwachstelle zunutze machen.

Laut den Erkenntnissen von Lachance weiss man bei Microsoft über die Schwachstelle Bescheid und hat mit dem unlängst ausgelieferten Oktober-Update das Leck abgedichtet. Angesichts der diversen Probleme, die das Feature-Update aber mit sich bringt, werden sich allerdings viele Windows-Anwender und Systemverantwortliche dazu entschieden haben, mit der Aktualisierung zuzuwarten.

Copyright by Swiss IT Media 2019