谷歌拼音输入法的安全漏洞
来源:互联网 发布:什么是php程序员 编辑:程序博客网 时间:2024/05/01 11:15
谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇blog的时候,就用的是刚下载的谷歌拼音输入法。
但是,需要注意的是,谷歌拼音输入法的第一个版本(1.0.15.0)的Windows Vista实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本(1.0.16.0)中修复了。你可以从http://tools.google.com/pinyin/index.html获取最新的版本。Google的响应速度还是很快的。
那么,谷歌拼音输入法的安全漏洞是什么?这个安全漏洞和以前微软在Windows 2000上的简体中文输入法的安全漏洞非常相似(http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx)。其根本原因在于,程序(输入法)应检测其UI用户界面目前是否运行在Windows的登录桌面(WinLogon Desktop)上。如果是的话,需要确保不能通过其UI打开其它应用程序窗口。
否则的话,可导致非法用户可以不经登录,就可以获取系统的相应权限。
具体到谷歌拼音输入法1.0.15.0,我们看一下:
图一,系统安装了谷歌拼音输入法,锁定机器。谷歌拼音输入法的用户界面出现在Windows Vista的登录界面上。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME1.jpg
图二,非法用户不需登录,就可以通过谷歌拼音输入法的帮助选项,打开IE,并进一步打开cmd.exe等等其它程序,获取非法权限。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME2.jpg
希望大家在以后的软件开发中,不要重复微软和Google犯的这个错误。
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法的安全漏洞
- 谷歌拼音输入法-里程碑式的跃进
- ibus 的谷歌拼音输入法发布
- ibus 的谷歌拼音输入法发布
- 转:ibus 的谷歌拼音输入法发布
- 谷歌拼音输入法
- 谷歌拼音输入法
- 告别谷歌拼音输入法
- 谷歌拼音输入法新鲜出炉!
- Google推出谷歌拼音输入法
- 谷歌拼音输入法研究笔记
- SCIM 安装谷歌拼音输入法
- Ubuntu 安装谷歌拼音输入法
- ubuntu安装谷歌拼音输入法
- [概念] 质量管理标准和理论 - ISO/Deming/Juran/TQM
- Eclipse Action 4
- [概念] 激励理论 - 马斯洛需求层次理论(Maslow's hierarchy of needs)
- [概念] Prioritization Matrix
- no title
- 谷歌拼音输入法的安全漏洞
- 微软项目管理软件的二次开发
- Struts原理与应用(三)
- 项目旧代码常见问题
- 动态光标(ANI)安全漏洞 -- 微软紧急安全公告
- Project Management 101 lessons
- [概念] 争议解决程序 (dispute resolution procedures)
- 组织结构 - 职能型,矩阵型和项目型
- Google Web Toolkit (GWT)入门