谷歌拼音输入法的安全漏洞

最新推荐文章于 2024-04-25 19:16:46 发布
最新推荐文章于 2024-04-25 19:16:46 发布
阅读量8k 收藏
点赞数
分类专栏: 产品安全 安全软件开发 文章标签: 输入法 windows blog google 微软 ui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengyun_chu/article/details/1555716
版权
谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇 blog 的时候,就用的是刚下载的谷歌拼音输入法。
 
但是,需要注意的是,谷歌拼音输入法的第一个版本( 1.0.15.0 )的 Windows Vista 实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本( 1.0.16.0 )中修复了。你可以从 http://tools.google.com/pinyin/index.html 获取最新的版本。 Google 的响应速度还是很快的
 
那么,谷歌拼音输入法的安全漏洞是什么?这个安全漏洞和以前微软在 Windows 2000 上的简体中文输入法的安全漏洞非常相似 (http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx) 。其根本原因在于,程序(输入法)应检测其 UI 用户界面目前是否运行在 Windows 的登录桌面( WinLogon Desktop )上。如果是的话,需要确保不能通过其 UI 打开其它应用程序窗口
 
否则的话,可导致非法用户可以不经登录,就可以获取系统的相应权限
 
具体到谷歌拼音输入法 1.0.15.0 ,我们看一下
 
图一,系统安装了谷歌拼音输入法,锁定机器。谷歌拼音输入法的用户界面出现在 Windows Vista 的登录界面上
 
 
图二,非法用户不需登录,就可以通过谷歌拼音输入法的帮助选项,打开 IE ,并进一步打开 cmd.exe 等等其它程序,获取非法权限
 
希望大家在以后的软件开发中,不要重复微软和 Google 犯的这个错误。
 
转:Qt使用谷歌拼音制作的软键盘程序源码。
07-29
1、支持Qt5.0以上 2、支持中文输入 3、支持手写 4、全部源码
谷歌拼音库PinyinIme
12-19
谷歌拼音库PinyinIme源代码, 可用Qt直接生成动态库文件
GOOGLE 谷歌输入法 出现漏洞 可以提升权限 以及远程入侵
FreeXploiT
04-06 4247
 昨天回家的时候 看了irc的聊天0x557的人谈到这件事 由于这一类的漏洞对于我来说没多大的意义不想发的 今天下午起床又看到tk的blog发了 后面跟帖的几个小白 鬼叫的让人作呕 真是sb年年有今年特别多 特发此帖下面是tk的文章 微软当年补输入法漏洞是在操作系统上也动手了的,即使安装了有问题的输入法,在登陆前也调不出帮助界面。没想到这个问提在Vista上又回归了。刚才在
搜狗输入法漏洞获取系统权限0day再述
caiguazheng4921的博客
04-19 677
测试环境:OS: windows 7 ultimate搜狗输入法 4.3 正式版 漏洞过程描述:当windows加载了搜狗输入法后(登录系统后),锁定计算机(cltr alt del)。切换为搜狗输入法,输入拼音字母出现搜狗输入法工具条后,点击搜索,会调用 iexplorer.exe 。接下来就可以直接在IE地址栏调用system32目录并运行cmd,如果登录账号为admi...
Google拼音输入的问题
斯克迪亚 's Blog:
06-15 1443
最近一段时间一直在用Google拼音,确实很好用,都把微软拼音给删了,只留下这一个输入法。 不过世无完美,Google拼音也存在着一些问题,以下是我目前所发现的问题: 第一个问题应该是BUG级别的:“后”字总是被打成繁体的“後”,其他字均未出现过繁体待选字,我也并未设置使用繁体字库。目前就发现这一个字有这样的问题,而且默认的这个字繁体的优先级比简体的要高,需要调试好几次才能纠正
谷歌拼音输入3.0测试版:新增英文写作助手
1. **谷歌拼音输入版本迭代**:从描述中我们了解到,目前用户可以获取的是谷歌拼音输入的3.0测试版,这个版本是在原有2.3稳定版的基础上开发的。在IT行业中,软件版本迭代是一个常见的现象,其中测试版通常是...
Android端百度输入法v10.13.0.20
01-13
同时,输入法定期更新,不断修复已知的安全漏洞,保护用户的设备免受恶意软件的侵害。 在用户体验上,百度输入法v10.13.0.20注重流畅度和响应速度。它采用了优化的内存管理机制,即使在多任务环境下也能保持稳定...
kali安装中文输入法.docx
06-08
安装完成输入法框架后,继续安装具体的中文输入法,这里推荐使用谷歌拼音输入: ```bash sudo apt-get install fcitx-googlepinyin ``` 谷歌拼音输入因其准确率高而受到很多用户的喜爱。 ##### 5. 重启系统 ...
网页手写输入法代码和控件
11-04
确保代码没有XSS或CSRF等安全漏洞,保护用户数据的安全。 综上所述,实现网页手写输入法是一个综合性的任务,涵盖了前端开发的多个方面,包括JavaScript编程、HTML5 Canvas的使用、字符识别算、用户体验设计以及...
Android谷歌拼音输入源码
06-14
开发语言:java 开发环境:android studio Chipmunk 2021.2.1版本 内容概要:谷歌拼音输入,支持中英文切换。C++代码,cmake编译通过,整个工程可以编译成一个输入法apk,安装后需要在设置里添加此输入法,再选择使用即可。 适合人群:C++/JAVA开发者,对有输入法定制需求的人群
紫光拼音输入
12-25
以前的紫光拼音输入 简单,实用。不像现在一些主流的输入法,乱七八糟的。
ubuntu10.10安装google拼音输入
05-26 897
1. sudo apt-get install git-core(已安装git的请跳过此步骤)2. git clone git://github.com/tchaikov/scim-googlepinyin.git3. cd scim-googlepinyin 4. sudo apt-get install aptitude(已安装aptitude的请跳过) 5. sudo aptitude install autotools-dev libgtk2.0-dev libscim-dev libtool
代码编写及阅读规范
guiwin的博客
03-22 918
阅读常识1、C语言中在函数名或关键字前加下划线        一般情况是标识该函数或关键字是自己内部使用的,与提供给外部的接口函数或关键字加以区分。规范综述C++ 是一门十分复杂并且威力强大的语言,使用这门语言的时候我们应该有所节制,绝对的自由意味着混乱。我十分清楚每个人对怎么编写代码都有自己的偏好。这里定下的规范,某些地方可能会跟个人原来熟悉的习惯相违背,并引起不满。但多人协作的时候,需要有一定...
软考:信息安全工程师3
qq_43699776的博客
10-10 2901
检测的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。26.常见的误用检测方:基于条件概率的误用检测方、基于状态迁移的误用检测方、基于键盘监控的误用检测方、基于规则的误用检测方。常见的异常检测方:基于统计的异常检测方、基于模式预测的异常检测方、基于文本分类的异常检测方、基于贝叶斯推理的异常检测方
新版Google拼音输入的一个小问题
掌门日记
10-31 494
昨晚安装了新版的Google拼音输入,安装好之后,发现拖动输入法小框框会出现一长串小尾巴~~~感觉挺好玩儿滴
利用Windows2000中文输入法漏洞,增加管理员账户
weixin_42582241的博客
11-06 1623
实验准备 Windows2000 Windows远程访问(以Windows2003为例) Windows2003入侵 在Windows2003上远程连接Windows2000,连接上后,屏幕上显示Windows2000登录界面(简体中文): Windows2000上也显示被Windows2003远程连接: 用“Ctrl+Shift”键切换输入法至全拼: 右击状态条上的微软徽标,在弹出框中选择“帮助”,“操作指南”(若呈灰色说明对方已经修复该漏洞): 在弹出的页面中右键“基本操作”,选择“跳转至UR
输入法重大漏洞曝光,仅华为幸免,近10亿用户受影响
最新发布
FreeBuf_的博客
04-25 1322
但是,在某种情况下,针对使用腾讯搜狗API的应用,攻击者还需要能够向云服务器发送网络流量,但他们不必一定是中间人(MitM)或在网络第3层欺骗来自用户的流量。近日,Citizenlab研究人员调查了多家厂商的输入法应用安全漏洞并报告称:除华为以外,百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中有八款均存在安全漏洞。为此,研究人员分别测试了腾讯、百度、讯飞、三星、华为、小米、OPPO、vivo和荣耀输入法的多个平台版本(安卓、iOS和Windows版本)。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值