被曝可繞過鎖屏高危漏洞？搜狗輸入法甩鍋微軟

本文來自微信公眾號(hào)： 科創(chuàng)板日?qǐng)?bào) （ID：chinastarmarket） ，作者：朱凌，頭圖來自：視覺中國(guó)

近日，有市民反映，他們收到了工作單位的通知，指出搜狗輸入法存在一個(gè)能夠輕易繞過電腦鎖屏奪取系統(tǒng)權(quán)限的高危漏洞，因此要求卸載該輸入法。

據(jù)國(guó)家信息安全漏洞庫(kù)一份來自盛邦安全的漏洞通報(bào)顯示，在微軟Windows操作系統(tǒng)下，攻擊者可以通過部分版本搜狗輸入法繞過系統(tǒng)登錄密碼，在鎖屏的情況下執(zhí)行CMD命令，獲取本機(jī)系統(tǒng)權(quán)限。

據(jù)了解，攻擊者可利用該漏洞，通過部分遠(yuǎn)程控制程序，在不知道目標(biāo)機(jī)的用戶名和密碼的情況下，直接重置管理員密碼。

通報(bào)稱，該漏洞源于系統(tǒng)對(duì)搜狗輸入法運(yùn)行權(quán)限過高，使搜狗輸入法在未授權(quán)情況下也能運(yùn)行，且搜狗輸入法自身權(quán)限驗(yàn)證不嚴(yán)謹(jǐn)導(dǎo)致，攻擊者成功利用漏洞后可在目標(biāo)系統(tǒng)執(zhí)行任意命令。

通報(bào)中建議，請(qǐng)關(guān)注廠商更新，及時(shí)升級(jí)版本。在官方暫未發(fā)布新版本前，建議先卸載搜狗輸入法，更換其他輸入法。

對(duì)此，搜狗輸入法昨日回應(yīng)稱，經(jīng)安全團(tuán)隊(duì)排查，該問題僅存在于特定版本W(wǎng)indows系統(tǒng)，是由于微軟屏幕鍵盤等相關(guān)程序主動(dòng)以特權(quán)接口加載中文輸入法導(dǎo)致，“我們已將此系統(tǒng)漏洞通知微軟相關(guān)團(tuán)隊(duì)。”

“在微軟修復(fù)該漏洞前，為更有效保護(hù)用戶安全，我們已采取了主動(dòng)規(guī)避措施，在Windows登錄界面下搜狗輸入法將主動(dòng)退出加載執(zhí)行。”搜狗輸入法補(bǔ)充道。

值得注意的是，這并不是輸入法軟件首次曝出類似的安全漏洞。回溯至2000年左右，Windows自帶的智能ABC等其他輸入法軟件也曾被曝出存在相似的漏洞。但遺憾的是，微軟及相關(guān)輸入法廠商似乎并未從過去的經(jīng)驗(yàn)中汲取教訓(xùn)，使此類問題仍舊發(fā)生。