Първоначална дата на публикуване: 8 април 2025 г.
ИД на КБ: 5058189
Резюме
Съществува уязвимост в Windows, която позволява на неупълномощени потребители да видят пълния път на файла до ресурс, до който нямат разрешения за достъп. Тази уязвимост може да възникне, когато потребителят има права за достъп FILE_LIST_DIRECTORY родителска папка и получава известия за промяна на справочния указател.
За повече информация относно тази уязвимост вижте CVE-2025-21197 и CVE-2025-27738.
Още информация
Корекцията за тази уязвимост е включена в актуализациите на Windows, издадени на или след 8 април 2025 г.
Тази корекция може да се приложи към томове NTFS и ReFS , за да се предотврати тази уязвимост. Тази корекция извършва проверка за достъп на FILE_LIST_DIRECTORY в родителската папка на променения файл или папка, преди да съобщи за промени на неупълномощен потребител. Ако потребителят не притежава необходимите разрешения, известията за промяна ще бъдат филтрирани, което ще предотврати неупълномощеното разкриване на пътища към файлове.
По подразбиране тази корекция е забранена, за да се предотвратят неочаквани рискове за защитата или прекъсване на приложението.
За да разрешите тази корекция, можете да зададете стойността на ключа на системния регистър или стойността на ключ на групови правила на засегнатата система. За да направите това, използвайте един от следните методи.
Метод 1: Системен регистър
В системния регистър на Windows включете корекцията в подключа Правила или FileSystem .
Предпазливост Ако са разрешени и правилата , и подключовете FileSystem , подключът Правила има приоритет.
|
Политики |
Местоположение на системния регистър: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies Име на DWORD: EnforceDirectoryChangeNotificationPermissionCheck Дата на стойността: 1 (стойността по подразбиране е 0) Забележка За да изключите корекцията, задайте данни за стойността на 0. |
|
FileSystem |
Местоположение на системния регистър: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Име на DWORD: EnforceDirectoryChangeNotificationPermissionCheck Дата на стойността: 1 (стойността по подразбиране е 0) Забележка За да изключите корекцията, задайте данни за стойността на 0. |
Метод 2: PowerShell
За да разрешите корекцията, изпълнете PowerShell като администратор и включете корекцията в подключа Policies или FileSystem .
|
Политики |
Изпълнете тази команда: Set-ItemProperty път "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
FileSystem |
Изпълнете тази команда: Set-ItemProperty път "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
За да забраните корекцията, изпълнете PowerShell като администратор и изключете корекцията в подключа Policies или FileSystem .
|
Политики |
Изпълнете тази команда: Set-ItemProperty път "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
FileSystem |
Изпълнете тази команда: Set-ItemProperty -Път "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
