|
 
- 帖子
- 153
- 积分
- 419
- 注册时间
- 2006-5-23
|
[资讯] Vista用户小心:Vista 新爆输入法大漏洞
Vista 新爆输入法大漏洞!安装第三方输入法可能导致认证绕过,据了解和前些年NT系统上出现的利用输入法的帮助系统执行“net user”命令相似。
详情:
Windows Vista提供的输入机制实现上存在设计漏洞,能够接触计算机终端或通过终端服务访问的攻击者可能利用此漏洞直接获得主机的管理员权限。
如果一个输入法系统初始设置时被安装,默认它也会出现在登录界面中,这时操作系统应该根据自身运行状态提供不同的功能。然而,Windows Vista没有正确地检查当前系统登录状态,错误地将一些危险功能提供给了还未登录进系统的用户。因此,如果恶意用户可以接触物理终端或者通过终端服务会话访问到受影响系统,通过执行输入法提供的某些帮助功能访问系统文件和程序绕过登录认证机制,直接获取系统的管理权限。
此漏洞的利用与具体的各种输入法功能设计有关,目前已经确认可以利用的输入法有谷歌拼音输入法、极点五笔输入法,其他第三方的输入法也很可能受此问题影响。Vista自带输入法尚未发现存在这一问题。
临时解决方法:
卸载受影响的输入法或其他第三方输入法,使用vista自带的输入法如微软拼音或智能ABC等。 |
|
发表于 2007-4-11 14:48
|