IT之家 8 月 5 日消息，據(jù)財(cái)聯(lián)社報(bào)道，有市民近日收到了工作單位的通知，要求卸載搜狗輸入法。漏洞通報(bào)顯示，部分版本搜狗輸入法可繞過密碼，獲取系統(tǒng)權(quán)限。搜狗輸入法回應(yīng)稱，該問題是由于微軟屏幕鍵盤等相關(guān)程序主動(dòng)以特權(quán)接口加載中文輸入法導(dǎo)致。

據(jù)國(guó)家信息安全漏洞庫(kù)一份來自盛邦安全的漏洞通報(bào)顯示，在微軟 Windows 操作系統(tǒng)下，攻擊者可以通過部分版本搜狗輸入法繞過系統(tǒng)登錄密碼，在鎖屏的情況下執(zhí)行 CMD 命令，獲取本機(jī)系統(tǒng)權(quán)限。

據(jù)了解，攻擊者可利用該漏洞，通過部分遠(yuǎn)程控制程序，在不知道目標(biāo)機(jī)的用戶名和密碼的情況下，直接重置管理員密碼。

通報(bào)稱，該漏洞源于系統(tǒng)對(duì)搜狗輸入法運(yùn)行權(quán)限過高，使搜狗輸入法在未授權(quán)情況下也能運(yùn)行，且搜狗輸入法自身權(quán)限驗(yàn)證不嚴(yán)謹(jǐn)導(dǎo)致，攻擊者成功利用漏洞后可在目標(biāo)系統(tǒng)執(zhí)行任意命令。

通報(bào)中建議，請(qǐng)關(guān)注廠商更新，及時(shí)升級(jí)版本。在官方暫未發(fā)布新版本前，建議先卸載搜狗輸入法，更換其他輸入法。

對(duì)此，搜狗輸入法昨日回應(yīng)稱，經(jīng)安全團(tuán)隊(duì)排查，該問題僅存在于特定版本 Windows 系統(tǒng)，是由于微軟屏幕鍵盤等相關(guān)程序主動(dòng)以特權(quán)接口加載中文輸入法導(dǎo)致，“我們已將此系統(tǒng)漏洞通知微軟相關(guān)團(tuán)隊(duì)?！?/p>

“在微軟修復(fù)該漏洞前，為更有效保護(hù)用戶安全，我們已采取了主動(dòng)規(guī)避措施，在 Windows 登錄界面下搜狗輸入法將主動(dòng)退出加載執(zhí)行?！彼压份斎敕ㄑa(bǔ)充道。

IT之家發(fā)現(xiàn)，目前網(wǎng)上流傳著不少繞過鎖屏的教程，其中涉及搜狗輸入法的“游戲中心”版塊，可在 Windows 鎖屏界面直接彈出游戲中心窗口，并打開 QQ 下載界面。通過下載 QQ 打開 Windows 系統(tǒng)文件管理器，然后就能打開 CMD 窗口。