谷歌拼音输入法的安全漏洞
来源:互联网 发布:淘宝代刷销量 编辑:程序博客网 时间:2024/04/30 13:49
谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇blog的时候,就用的是刚下载的谷歌拼音输入法。
但是,需要注意的是,谷歌拼音输入法的第一个版本(1.0.15.0)的Windows Vista实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本(1.0.16.0)中修复了。你可以从http://tools.google.com/pinyin/index.html获取最新的版本。Google的响应速度还是很快的。
那么,谷歌拼音输入法的安全漏洞是什么?这个安全漏洞和以前微软在Windows 2000上的简体中文输入法的安全漏洞非常相似(http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx)。其根本原因在于,程序(输入法)应检测其UI用户界面目前是否运行在Windows的登录桌面(WinLogon Desktop)上。如果是的话,需要确保不能通过其UI打开其它应用程序窗口。
否则的话,可导致非法用户可以不经登录,就可以获取系统的相应权限。
具体到谷歌拼音输入法1.0.15.0,我们看一下:
图一,系统安装了谷歌拼音输入法,锁定机器。谷歌拼音输入法的用户界面出现在Windows Vista的登录界面上。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME1.jpg
图二,非法用户不需登录,就可以通过谷歌拼音输入法的帮助选项,打开IE,并进一步打开cmd.exe等等其它程序,获取非法权限。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME2.jpg
希望大家在以后的软件开发中,不要重复微软和Google犯的这个错误。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1555716
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法-里程碑式的跃进
- ibus 的谷歌拼音输入法发布
- ibus 的谷歌拼音输入法发布
- 转:ibus 的谷歌拼音输入法发布
- 谷歌拼音输入法
- 谷歌拼音输入法
- 告别谷歌拼音输入法
- 谷歌拼音输入法新鲜出炉!
- Google推出谷歌拼音输入法
- 谷歌拼音输入法研究笔记
- SCIM 安装谷歌拼音输入法
- Ubuntu 安装谷歌拼音输入法
- ubuntu安装谷歌拼音输入法
- 关于SHBrowseForFolder的用法SHBrowseForFolder来初始化选择目录
- 怎样发现真正的爱 (Lois Smith Brady 明延雄译)
- 用.htaccess实现网址规范化
- 恢复你的IE->对某些网站恶意修改的恢复方法
- JSP、ASP.NET和存储过程
- 谷歌拼音输入法的安全漏洞
- 防范SQL注入式攻击
- CSDN网友:缺陷管理系统很重要,但更重要是管理的思想
- C#中导出电子表格Execl总结
- 写程序,做自己
- 基地组织曾派五人潜入中国制造恐怖事件 (爆笑)
- c# tabcontrol 隐藏索引标签,代码是现成的组件
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 关于算法的一些想法