Một lỗ hổng bảo mật trên Windows 10 cho phép các ứng dụng trên Microsoft Store có quyền truy cập vào tất cả các tập tin trên máy tính của người dùng.

Các ứng dụng trên Microsoft Store có tên gọi chung là Universal Windows Platform (UWP), đây là một các ứng dụng được hỗ trợ có thể chạy trên nhiều thiết bị như máy tính, Xbox One, các thiết bị IoT, Surface Hub và tai nghe Mixed-reality.

{keywords}
Lỗ hổng Windows 10 làm lộ tất cả tập tin người dùng

Các ứng dụng UWP này được hỗ trợ một số thư viện để có thể truy cập đến một số dữ liệu cá nhân trên máy như hình ảnh, nhạc hoặc thiết bị ngoại vi như micro, nhưng dưới sự cho phép của người dùng. Trong số thư viện có một quyền gọi là broadFileSystemAccess (Quyền truy cập file hệ thống), cho phép ứng dụng truy cập vào toàn bộ tập tin trên máy tính (giống quyền root trên thiết bị iOS bị jailbreak vậy).

Khi người dùng cài một ứng dụng UWP yêu cầu quyền này thì một thông báo nhắc nhở sẽ hiển thị. Tuy nhiên, nhà phát triển ứng dụng UWP có tên Sébastien Lachance cho biết các phiên bản Windows 10 trước bản October 2018 Update đã không hiển thị lời nhắc này mà cấp quyền cho các ứng dụng luôn nếu có yêu cầu.

Lachance chỉ vô tình phát hiện được điều này khi mà người dùng sau khi nâng cấp lên bản Windows 10 October 2018 Update bị lỗi khi sử dụng ứng dụng của anh. Trả lời về điều này, Microsoft cho biết đúng là đã có xảy ra lỗ hổng bảo mật trên và hãng đã tiến hành vá lỗi trên phiên bản mới nhất của mình.

{keywords}
 Thay đổi thiết lập để bảo vệ các tập tin của bạn

Vấn đề là bản Windows 10 mới nhất này lại đang hoạt động không ổn định sau hàng loạt sự cố như treo máy, lỗi xóa tập tin,... nên nhiều người còn đang cân nhắc trước khi nâng cấp. Nếu bạn muốn “vá” lỗi này mà chưa cần phải nâng cấp, bạn hãy vào Settings > Privacy > File system. Sau đó bạn tắt các ứng dụng ở phần Choose which apps can access your file system để tắt quyền này đi.

An Nhiên - Thùy Linh - Văn Thường (theo The Hacker News)