据一名.NET开发人员Sébastien Lachance上周披露，在Win10中实际存在了一个关键漏洞可让通用视窗平台（Universal Windows Platform，UWP）程序能够调用电脑上所有的文件。

       虽然UWP程序原本就可调用特定的文件系统，如应用程序安装目录（Application install directory）、应用程序数据存放处（Application data locations）、外置设备（Removable devices）及使用者的下载文件夹（User's Downloads folder）等。但如果要访问其它的文件或文件夹，则需要在程序的安装信息文件（manifest）中宣告，或者是呼叫File Picker让使用者选择允许程序访问的文件及文件夹，若要以broadFileSystemAccess API访问系统上的所有文件，包括文档、图片、照片、下载、桌面或OneDrive等，必须在首次启用时取得使用者的授权。

　　而Lachance随后则发现Build 1809之前的Windows版本中含有一个漏洞，能让程序可未经使用者授权直接取用broadFileSystemAccess API。

　　据Lachance表示，其是在打造一个企业营运程序（LOB）时意外发现该漏洞的。他该程序必须使用broadFileSystemAccess API来存取存放在C:\myAppData中的数据，而当他发现执行该程序完全不需要取得授权时还感到很开心，一直到Build 1809出炉之后，只要执行该程序就会当掉，才知道微软在预设中把broadFileSystemAccess关掉了。

　　因此建议用户快快通过Windows 10中的设定-隐私-文件系统中，对UWP程序进行检查和管理。然后打上相关的补丁吧。