谷歌拼音输入法的安全漏洞

谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇 blog 的时候,就用的是刚下载的谷歌拼音输入法。
 
但是,需要注意的是,谷歌拼音输入法的第一个版本( 1.0.15.0 )的 Windows Vista 实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本( 1.0.16.0 )中修复了。你可以从 http://tools.google.com/pinyin/index.html 获取最新的版本。 Google 的响应速度还是很快的
 
那么,谷歌拼音输入法的安全漏洞是什么?这个安全漏洞和以前微软在 Windows 2000 上的简体中文输入法的安全漏洞非常相似 (http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx) 。其根本原因在于,程序(输入法)应检测其 UI 用户界面目前是否运行在 Windows 的登录桌面( WinLogon Desktop )上。如果是的话,需要确保不能通过其 UI 打开其它应用程序窗口
 
否则的话,可导致非法用户可以不经登录,就可以获取系统的相应权限
 
具体到谷歌拼音输入法 1.0.15.0 ,我们看一下
 
图一,系统安装了谷歌拼音输入法,锁定机器。谷歌拼音输入法的用户界面出现在 Windows Vista 的登录界面上
 
 
图二,非法用户不需登录,就可以通过谷歌拼音输入法的帮助选项,打开 IE ,并进一步打开 cmd.exe 等等其它程序,获取非法权限
 
希望大家在以后的软件开发中,不要重复微软和 Google 犯的这个错误。
 
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值