谷歌拼音输入法的安全漏洞

最新推荐文章于 2022-10-10 19:51:34 发布
最新推荐文章于 2022-10-10 19:51:34 发布
阅读量7.9k 收藏
点赞数
分类专栏: 产品安全 安全软件开发 文章标签: 输入法 windows blog google 微软 ui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengyun_chu/article/details/1555716
版权
谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇 blog 的时候,就用的是刚下载的谷歌拼音输入法。
 
但是,需要注意的是,谷歌拼音输入法的第一个版本( 1.0.15.0 )的 Windows Vista 实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本( 1.0.16.0 )中修复了。你可以从 http://tools.google.com/pinyin/index.html 获取最新的版本。 Google 的响应速度还是很快的
 
那么,谷歌拼音输入法的安全漏洞是什么?这个安全漏洞和以前微软在 Windows 2000 上的简体中文输入法的安全漏洞非常相似 (http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx) 。其根本原因在于,程序(输入法)应检测其 UI 用户界面目前是否运行在 Windows 的登录桌面( WinLogon Desktop )上。如果是的话,需要确保不能通过其 UI 打开其它应用程序窗口
 
否则的话,可导致非法用户可以不经登录,就可以获取系统的相应权限
 
具体到谷歌拼音输入法 1.0.15.0 ,我们看一下
 
图一,系统安装了谷歌拼音输入法,锁定机器。谷歌拼音输入法的用户界面出现在 Windows Vista 的登录界面上
 
 
图二,非法用户不需登录,就可以通过谷歌拼音输入法的帮助选项,打开 IE ,并进一步打开 cmd.exe 等等其它程序,获取非法权限
 
希望大家在以后的软件开发中,不要重复微软和 Google 犯的这个错误。
 
chengyun_chu
关注
专栏目录
转:Qt使用谷歌拼音制作的软键盘程序源码。
07-29
1、支持Qt5.0以上 2、支持中文输入 3、支持手写 4、全部源码
谷歌拼音库PinyinIme
12-19
谷歌拼音库PinyinIme源代码, 可用Qt直接生成动态库文件
GOOGLE 谷歌输入法 出现漏洞 可以提升权限 以及远程入侵
FreeXploiT
04-06 4224
 昨天回家的时候 看了irc的聊天0x557的人谈到这件事 由于这一类的漏洞对于我来说没多大的意义不想发的 今天下午起床又看到tk的blog发了 后面跟帖的几个小白 鬼叫的让人作呕 真是sb年年有今年特别多 特发此帖下面是tk的文章 微软当年补输入法漏洞是在操作系统上也动手了的,即使安装了有问题的输入法,在登陆前也调不出帮助界面。没想到这个问提在Vista上又回归了。刚才在
安全是谁的责任?应用程序还是操作系统? 再谈Google输入法安全漏洞
05-16 4777
  前一阵子Google输入法Windows Vista的安全漏洞闹得沸沸扬扬。从CSDN,或是从我认识的微软中国同事那里,看到许多用户都有这么一个疑问?到底这是Google输入法实现的问题,还是Windows Vista系统本身的漏洞? 我们知道,在Windows系统下,应用程序都需要在相应的用户帐号(user account)下运行。比方说,如果你是以一个普通用户登录,然后执行一个应
搜狗输入法漏洞获取系统权限0day再述
caiguazheng4921的博客
04-19 579
测试环境:OS: windows 7 ultimate搜狗输入法 4.3 正式版 漏洞过程描述:当windows加载了搜狗输入法后(登录系统后),锁定计算机(cltr alt del)。切换为搜狗输入法,输入拼音字母出现搜狗输入法工具条后,点击搜索,会调用 iexplorer.exe 。接下来就可以直接在IE地址栏调用system32目录并运行cmd,如果登录账号为admi...
Android端百度输入法v10.13.0.20
最新发布
01-13
同时,输入法定期更新,不断修复已知的安全漏洞,保护用户的设备免受恶意软件的侵害。 在用户体验上,百度输入法v10.13.0.20注重流畅度和响应速度。它采用了优化的内存管理机制,即使在多任务环境下也能保持稳定...
qq输入法 v5.13.1
09-10
QQ输入法是一款由腾讯公司开发的智能拼音输入法,尤其在移动端备受用户喜爱。v5.13.1是该应用的一个旧版本,专为安卓(Android)平台设计。在这个版本中,QQ输入法可能已经具备了基本的汉字输入、拼音输入、词库更新...
网页手写输入法代码和控件
11-04
确保代码没有XSS或CSRF等安全漏洞,保护用户数据的安全。 综上所述,实现网页手写输入法是一个综合性的任务,涵盖了前端开发的多个方面,包括JavaScript编程、HTML5 Canvas的使用、字符识别算法、用户体验设计以及...
Android谷歌拼音输入法源码
06-14
开发语言:java 开发环境:android studio Chipmunk 2021.2.1版本 内容概要:谷歌拼音输入法,支持中英文切换。C++代码,cmake编译通过,整个工程可以编译成一个输入法apk,安装后需要在设置里添加此输入法,再选择使用即可。 适合人群:C++/JAVA开发者,对有输入法定制需求的人群
谷歌拼音输入法 3.0 一
01-29
谷歌拼音输入法 3.0(测试版)加入了英文写作助手功能。该版本目前处于公开测试阶段,不会自动替换掉 2.3 稳定版。与正式发布版相比,谷歌拼音输入法 3.0(测试版)的更新较为频繁.
谷歌拼音输入法 3.0.1.98
01-29
谷歌拼音输入法 3.0.1.98 最后一个测试版,也是最新的一个版本。 该安装包集成 32 位和 64 位,根据系统兼容性,请自行选择安装对应版本。
紫光拼音输入法
12-25
以前的紫光拼音输入法 简单,实用。不像现在一些主流的输入法,乱七八糟的。
Google拼音输入法的问题
斯克迪亚 's Blog:
06-15 1342
最近一段时间一直在用Google拼音,确实很好用,都把微软拼音给删了,只留下这一个输入法。 不过世无完美,Google拼音也存在着一些问题,以下是我目前所发现的问题: 第一个问题应该是BUG级别的:“后”字总是被打成繁体的“後”,其他字均未出现过繁体待选字,我也并未设置使用繁体字库。目前就发现这一个字有这样的问题,而且默认的这个字繁体的优先级比简体的要高,需要调试好几次才能纠正
ubuntu10.10安装google拼音输入法
05-26 869
1. sudo apt-get install git-core(已安装git的请跳过此步骤)2. git clone git://github.com/tchaikov/scim-googlepinyin.git3. cd scim-googlepinyin 4. sudo apt-get install aptitude(已安装aptitude的请跳过) 5. sudo aptitude install autotools-dev libgtk2.0-dev libscim-dev libtool
代码编写及阅读规范
guiwin的博客
03-22 840
阅读常识1、C语言中在函数名或关键字前加下划线        一般情况是标识该函数或关键字是自己内部使用的,与提供给外部的接口函数或关键字加以区分。规范综述C++ 是一门十分复杂并且威力强大的语言,使用这门语言的时候我们应该有所节制,绝对的自由意味着混乱。我十分清楚每个人对怎么编写代码都有自己的偏好。这里定下的规范,某些地方可能会跟个人原来熟悉的习惯相违背,并引起不满。但多人协作的时候,需要有一定...
软考:信息安全工程师3
qq_43699776的博客
10-10 2801
检测的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。26.常见的误用检测方法:基于条件概率的误用检测方法、基于状态迁移的误用检测方法、基于键盘监控的误用检测方法、基于规则的误用检测方法。常见的异常检测方法:基于统计的异常检测方法、基于模式预测的异常检测方法、基于文本分类的异常检测方法、基于贝叶斯推理的异常检测方法。
新版Google拼音输入法的一个小问题
掌门日记
10-31 464
昨晚安装了新版的Google拼音输入法,安装好之后,发现拖动输入法小框框会出现一长串小尾巴~~~感觉挺好玩儿滴
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值