谷歌拼音输入法的安全漏洞
来源:互联网 发布:中国房地产协会数据 编辑:程序博客网 时间:2024/04/30 11:20
谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇blog的时候,就用的是刚下载的谷歌拼音输入法。
但是,需要注意的是,谷歌拼音输入法的第一个版本(1.0.15.0)的Windows Vista实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本(1.0.16.0)中修复了。你可以从http://tools.google.com/pinyin/index.html获取最新的版本。Google的响应速度还是很快的。
那么,谷歌拼音输入法的安全漏洞是什么?这个安全漏洞和以前微软在Windows 2000上的简体中文输入法的安全漏洞非常相似(http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx)。其根本原因在于,程序(输入法)应检测其UI用户界面目前是否运行在Windows的登录桌面(WinLogon Desktop)上。如果是的话,需要确保不能通过其UI打开其它应用程序窗口。
否则的话,可导致非法用户可以不经登录,就可以获取系统的相应权限。
具体到谷歌拼音输入法1.0.15.0,我们看一下:
图一,系统安装了谷歌拼音输入法,锁定机器。谷歌拼音输入法的用户界面出现在Windows Vista的登录界面上。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME1.jpg
图二,非法用户不需登录,就可以通过谷歌拼音输入法的帮助选项,打开IE,并进一步打开cmd.exe等等其它程序,获取非法权限。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME2.jpg
希望大家在以后的软件开发中,不要重复微软和Google犯的这个错误。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1555716
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法-里程碑式的跃进
- ibus 的谷歌拼音输入法发布
- ibus 的谷歌拼音输入法发布
- 转:ibus 的谷歌拼音输入法发布
- 谷歌拼音输入法
- 谷歌拼音输入法
- 告别谷歌拼音输入法
- 谷歌拼音输入法新鲜出炉!
- Google推出谷歌拼音输入法
- 谷歌拼音输入法研究笔记
- SCIM 安装谷歌拼音输入法
- Ubuntu 安装谷歌拼音输入法
- ubuntu安装谷歌拼音输入法
- 分拆统计字符串
- 利用SQL移动硬盘文件
- sockets C#
- 利用SQL移动硬盘文件
- 随机排序分页处理示例
- 谷歌拼音输入法的安全漏洞
- ADO.NET深入研究(1)[特别推荐]
- Windows2000 DNS 技术指南 8
- 根据排序定义表排序数据
- 先进先出的订单分配处理
- 合并有数据的列
- 根据表中记录的变化情况自动维护作业
- Windows2000 DNS 技术指南 9
- 更新字符串列表中,指定位置的字符串