被曝可绕过锁屏高危漏洞?搜狗输入法甩锅微软
科创板日报 2024-08-03 15:02

近日,有市民反映,他们收到了工作单位的通知,指出搜狗输入法存在一个能够轻易绕过电脑锁屏夺取系统权限的高危漏洞,因此要求卸载该输入法。

据国家信息安全漏洞库一份来自盛邦安全的漏洞通报显示,在微软Windows操作系统下,攻击者可以通过部分版本搜狗输入法绕过系统登录密码,在锁屏的情况下执行CMD命令,获取本机系统权限。

据了解,攻击者可利用该漏洞,通过部分远程控制程序,在不知道目标机的用户名和密码的情况下,直接重置管理员密码。

通报称,该漏洞源于系统对搜狗输入法运行权限过高,使搜狗输入法在未授权情况下也能运行,且搜狗输入法自身权限验证不严谨导致,攻击者成功利用漏洞后可在目标系统执行任意命令。

通报中建议,请关注厂商更新,及时升级版本。在官方暂未发布新版本前,建议先卸载搜狗输入法,更换其他输入法。

对此,搜狗输入法昨日回应称,经安全团队排查,该问题仅存在于特定版本Windows系统,是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致,“我们已将此系统漏洞通知微软相关团队。”

“在微软修复该漏洞前,为更有效保护用户安全,我们已采取了主动规避措施,在Windows登录界面下搜狗输入法将主动退出加载执行。”搜狗输入法补充道。

值得注意的是,这并不是输入法软件首次曝出类似的安全漏洞。回溯至2000年左右, Windows自带的智能ABC等其他输入法软件也曾被曝出存在相似的漏洞。但遗憾的是,微软及相关输入法厂商似乎并未从过去的经验中汲取教训,使此类问题仍旧发生。

编辑/樊宏伟

相关阅读
102个汉字生僻字将进入国际编码流程,腾讯推出云输入解决方案
北京青年报客户端 2024-04-22
北京市司法局:今年法考“主观题考试”首次支持跨省通办 建议考生提前练习规定输入法
北京青年报客户端 2023-09-06
腾讯旗下搜狗输入法发布眼动方案,免费开放无障碍输入技术
北京青年报客户端 2022-01-14
搜狗完成私有化成腾讯子公司,搜索和输入法保持搜狗品牌运营
澎湃新闻 2021-09-24
视窗操作系统现严重漏洞 微软呼吁立即打补丁
新华社 2021-07-08
科大讯飞股价闪崩 回应“多家应用商店下架讯飞输入法”问题
澎湃新闻 2021-06-12
15楼财经 | 讯飞、QQ等输入法因未按照要求整改被下架,科大讯飞股价闪崩
北京青年报客户端 2021-06-11
“讯飞输入法”被多家应用商店下架,科大讯飞回应
观察者网 2021-06-11
最新评论