近日,有市民反映,他们收到了工作单位的通知,指出搜狗输入法存在一个能够轻易绕过电脑锁屏夺取系统权限的高危漏洞,因此要求卸载该输入法。
通报称,该漏洞源于系统对搜狗输入法运行权限过高,使搜狗输入法在未授权情况下也能运行,且搜狗输入法自身权限验证不严谨导致,攻击者成功利用漏洞后可在目标系统执行任意命令。通报中建议,请关注厂商更新,及时升级版本。在官方暂未发布新版本前,建议先卸载搜狗输入法,更换其他输入法。
对此,搜狗输入法回应称,经安全团队排查,该问题仅存在于特定版本Windows系统,是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致,“我们已将此系统漏洞通知微软相关团队。”
“在微软修复该漏洞前,为更有效保护用户安全,我们已采取了主动规避措施,在Windows登录界面下搜狗输入法将主动退出加载执行。”搜狗输入法补充道。
值得注意的是,这并不是输入法软件首次曝出类似的安全漏洞。2000年左右, Windows自带的智能ABC等其他输入法软件也曾被曝出存在相似的漏洞。
Copyright© 2013-2019