谷歌拼音输入法的安全漏洞

谷歌拼音输入法是一个非常不错的输入法。事实上，我在写这篇blog的时候，就用的是刚下载的谷歌拼音输入法。

 

但是，需要注意的是，谷歌拼音输入法的第一个版本（1.0.15.0）的Windows Vista实现中，存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本（1.0.16.0）中修复了。你可以从http://tools.google.com/pinyin/index.html获取最新的版本。Google的响应速度还是很快的。

 

那么，谷歌拼音输入法的安全漏洞是什么？这个安全漏洞和以前微软在Windows 2000上的简体中文输入法的安全漏洞非常相似(http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx)。其根本原因在于，程序（输入法）应检测其UI用户界面目前是否运行在Windows的登录桌面（WinLogon Desktop）上。如果是的话，需要确保不能通过其UI打开其它应用程序窗口。

 

否则的话，可导致非法用户可以不经登录，就可以获取系统的相应权限。

 

具体到谷歌拼音输入法1.0.15.0，我们看一下：

 

图一，系统安装了谷歌拼音输入法，锁定机器。谷歌拼音输入法的用户界面出现在Windows Vista的登录界面上。

 

 

http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME1.jpg

图二，非法用户不需登录，就可以通过谷歌拼音输入法的帮助选项，打开IE，并进一步打开cmd.exe等等其它程序，获取非法权限。

 

http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME2.jpg

希望大家在以后的软件开发中，不要重复微软和Google犯的这个错误。

 

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1555716