Microsoft rüstet den Windows Package Manager mit einer Deinstallations-Funktion aus
Über das Memorial-Day-Wochenende in den USA tauchten jedoch mehrere Pull-Requests auf, die Namen von Anwendungen enthielten, die bereits in der Registry des Paketmanagers existierten. Einige Pull Requests enthielten falsche Anwendungsnamen oder auch fehlerhafte Links, von denen die Anwendung mithilfe des Managers geholt werden sollte. In anderen Fällen überschrieben neue Pull-Requests die Manifeste bestehender Anwendungen mit unvollständigen neuen, teils falschen Informationen. Das betraf zum Beispiel bekannte Anwendungen wie den VLC-Player von VideoLAN und die Steam-App von Valve.
Mit Absicht oder nicht: Es herrscht Chaos
Nutzer reichen Manifeste ein, ohne zu prüfen, ob die App bereits in dem Repository existiert oder nicht. Was zunächst nur nach einem großen Chaos klingt, könnte auch einen anderen Hintergrund haben. Unkontrolliert können fehlerhafte, unvollständige oder sogar bösartige Pakete den Weg für alles Mögliche ebnen, von einfachen Anwendungsfehlern bis hin zu einem erfolgreichen Supply-Chain-Angriff.Entwickler haben daher schon erste Lösungen vorgeschlagen, die Winget anwenden könnte, um die Integrität seiner Pakete zu gewährleisten. Laut Bleeping Computer hat sich Microsoft-Manager Demitrius Nelon, eine Schlüsselperson hinter der Entwicklung von Winget, nun eingeschaltet und das Problem bestätigt. Eine Lösung gibt es aber bisher noch nicht.
Die neue stabile Version ist bereits für Windows Insider und Personen, die der Windows Package Manager Insider-Gruppe beigetreten sind, verfügbar. Wer das Update manuell installieren möchten, findet das Paket auf der GitHub-Veröffentlichungsseite. Das Unternehmen plant außerdem, die neue Version des Windows Package Managers als automatisches Update über den Microsoft Store auf allen PC mit Windows 10 Version 1809 oder neuer auszuliefern. Das Open-Source-Tool lässt sich über dieses GitHub-Repository herunterladen und ausprobieren.