IT之家 8 月 5 日消息,据财联社报道,有市民近日收到了工作单位的通知,要求卸载搜狗输入法。漏洞通报显示,部分版本搜狗输入法可绕过密码,获取系统权限。搜狗输入法回应称,该问题是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致。
据国家信息安全漏洞库一份来自盛邦安全的漏洞通报显示,在微软 Windows 操作系统下,攻击者可以通过部分版本搜狗输入法绕过系统登录密码,在锁屏的情况下执行 CMD 命令,获取本机系统权限。
据了解,攻击者可利用该漏洞,通过部分远程控制程序,在不知道目标机的用户名和密码的情况下,直接重置管理员密码。
通报称,该漏洞源于系统对搜狗输入法运行权限过高,使搜狗输入法在未授权情况下也能运行,且搜狗输入法自身权限验证不严谨导致,攻击者成功利用漏洞后可在目标系统执行任意命令。
通报中建议,请关注厂商更新,及时升级版本。在官方暂未发布新版本前,建议先卸载搜狗输入法,更换其他输入法。
对此,搜狗输入法昨日回应称,经安全团队排查,该问题仅存在于特定版本 Windows 系统,是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致,“我们已将此系统漏洞通知微软相关团队。”
“在微软修复该漏洞前,为更有效保护用户安全,我们已采取了主动规避措施,在 Windows 登录界面下搜狗输入法将主动退出加载执行。”搜狗输入法补充道。
IT之家发现,目前网上流传着不少绕过锁屏的教程,其中涉及搜狗输入法的“游戏中心”版块,可在 Windows 锁屏界面直接弹出游戏中心窗口,并打开 QQ 下载界面。通过下载 QQ 打开 Windows 系统文件管理器,然后就能打开 CMD 窗口。
8 月 2 日,搜狗输入法发布14.7 正式版,宣布已修复部分版本 Windows 系统锁屏状态下可通过三方输入法提权的问题。
