被曝可繞過鎖屏高危漏洞？搜狗輸入法甩鍋微軟

本文來自微信公眾號： 科創板日報 （ID：chinastarmarket） ，作者：朱凌，頭圖來自：視覺中國

近日，有市民反映，他們收到了工作單位的通知，指出搜狗輸入法存在一個能夠輕易繞過電腦鎖屏奪取系統權限的高危漏洞，因此要求卸載該輸入法。

據國家信息安全漏洞庫一份來自盛邦安全的漏洞通報顯示，在微軟Windows操作系統下，攻擊者可以通過部分版本搜狗輸入法繞過系統登錄密碼，在鎖屏的情況下執行CMD命令，獲取本機系統權限。

據了解，攻擊者可利用該漏洞，通過部分遠程控制程序，在不知道目標機的用戶名和密碼的情況下，直接重置管理員密碼。

通報稱，該漏洞源于系統對搜狗輸入法運行權限過高，使搜狗輸入法在未授權情況下也能運行，且搜狗輸入法自身權限驗證不嚴謹導致，攻擊者成功利用漏洞后可在目標系統執行任意命令。

通報中建議，請關注廠商更新，及時升級版本。在官方暫未發布新版本前，建議先卸載搜狗輸入法，更換其他輸入法。

對此，搜狗輸入法昨日回應稱，經安全團隊排查，該問題僅存在于特定版本Windows系統，是由于微軟屏幕鍵盤等相關程序主動以特權接口加載中文輸入法導致，“我們已將此系統漏洞通知微軟相關團隊。”

“在微軟修復該漏洞前，為更有效保護用戶安全，我們已采取了主動規避措施，在Windows登錄界面下搜狗輸入法將主動退出加載執行。”搜狗輸入法補充道。

值得注意的是，這并不是輸入法軟件首次曝出類似的安全漏洞。回溯至2000年左右，Windows自帶的智能ABC等其他輸入法軟件也曾被曝出存在相似的漏洞。但遺憾的是，微軟及相關輸入法廠商似乎并未從過去的經驗中汲取教訓，使此類問題仍舊發生。