被曝可繞過鎖屏?搜狗輸入法甩鍋微軟 Windows 漏洞

IT之家 8 月 5 日消息,據財聯社報道,有市民近日收到了工作單位的通知,要求卸載搜狗輸入法。漏洞通報顯示,部分版本搜狗輸入法可繞過密碼,獲取系統權限。搜狗輸入法迴應稱,該問題是由於微軟屏幕鍵盤等相關程序主動以特權接口加載中文輸入法導致。

據國家信息安全漏洞庫一份來自盛邦安全的漏洞通報顯示,在微軟 Windows 操作系統下,攻擊者可以通過部分版本搜狗輸入法繞過系統登錄密碼,在鎖屏的情況下執行 CMD 命令,獲取本機系統權限。

據瞭解,攻擊者可利用該漏洞,通過部分遠程控制程序,在不知道目標機的用戶名和密碼的情況下,直接重置管理員密碼。

通報稱,該漏洞源於系統對搜狗輸入法運行權限過高,使搜狗輸入法在未授權情況下也能運行,且搜狗輸入法自身權限驗證不嚴謹導致,攻擊者成功利用漏洞後可在目標系統執行任意命令。

通報中建議,請關注廠商更新,及時升級版本。在官方暫未發佈新版本前,建議先卸載搜狗輸入法,更換其他輸入法。

對此,搜狗輸入法昨日迴應稱,經安全團隊排查,該問題僅存在於特定版本 Windows 系統,是由於微軟屏幕鍵盤等相關程序主動以特權接口加載中文輸入法導致,“我們已將此係統漏洞通知微軟相關團隊。”

“在微軟修復該漏洞前,爲更有效保護用戶安全,我們已採取了主動規避措施,在 Windows 登錄界面下搜狗輸入法將主動退出加載執行。”搜狗輸入法補充道。

IT之家發現,目前網上流傳着不少繞過鎖屏的教程,其中涉及搜狗輸入法的“遊戲中心”版塊,可在 Windows 鎖屏界面直接彈出遊戲中心窗口,並打開 QQ 下載界面。通過下載 QQ 打開 Windows 系統文件管理器,然後就能打開 CMD 窗口。