日前,Windows Vista系统又被发现存在一个严重安全漏洞,当使用谷歌拼音输入法时,
恶意用户可以绕过用户认证获得管理员权限。绿盟科技安全小组经过测试分析,确认了该漏洞的存在,主要问题在于Vista系统对于输入法状态的判断错误,致使能够接触计算机终端或通过终端服务访问的恶意用户,可以利用此漏洞绕过Windows的用户登录认证获取机器的管理员权限。
据绿盟科技的漏洞研究专家称,此漏洞非常类似以前影响Windows 2000的MS00-069漏洞,虽然本质上是本地问题,但通过终端服务也有可能远程利用,利用MS00-069漏洞由此成为当年最流行的入侵Windows2000系统的方法之一,当前这个漏洞与MS00-069在成因和利用方法基本一致,具备相同的安全威胁。
绿盟科技的专家同时指出,该漏洞的利用与具体的各种输入法功能设计有关,目前已经确认可以利用的输入法有谷歌拼音输入法(1.0.15.0版本)、极点五笔输入法,其他设计不当的第三方的输入法也很可能受此问题影响。Vista自带输入法尚未发现存在这一问题。
日前绿盟科技已将此漏洞通报微软公司,但目前还没有相应的安全补丁。绿盟科技专家提醒Vista用户保持警觉并采取相应的防范措施,建议用户卸载受影响的输入法或其他第三方输入法,暂时使用Windows Vista自带的输入法,如微软拼音或智能ABC等,等待微软或输入法厂商提供产品更新。
另据绿盟科技的最新的测试报告显示,谷歌拼音输入法1.0.16.0版本已经修复了可以在Vista系统上可被利用来绕过登录认证的安全问题,用户可以下载最新的谷歌拼音使用。
