谷歌拼音輸入法是一個非常不錯的輸入法。事實上,我在寫這篇blog的時候,就用的是剛下載下傳的谷歌拼音輸入法。
但是,需要注意的是,谷歌拼音輸入法的第一個版本(1.0.15.0)的Windows Vista實作中,存在着一個比較嚴重的安全漏洞。這個漏洞已經在谷歌拼音輸入法的最新版本(1.0.16.0)中修複了。你可以從http://tools.google.com/pinyin/index.html擷取最新的版本。Google的響應速度還是很快的。
那麼,谷歌拼音輸入法的安全漏洞是什麼?這個安全漏洞和以前微軟在Windows 2000上的簡體中文輸入法的安全漏洞非常相似(http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx)。其根本原因在于,程式(輸入法)應檢測其UI使用者界面目前是否運作在Windows的登入桌面(WinLogon Desktop)上。如果是的話,需要確定不能通過其UI打開其它應用程式視窗。
否則的話,可導緻非法使用者可以不經登入,就可以擷取系統的相應權限。
具體到谷歌拼音輸入法1.0.15.0,我們看一下:
圖一,系統安裝了谷歌拼音輸入法,鎖定機器。谷歌拼音輸入法的使用者界面出現在Windows Vista的登入界面上。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME1.jpg
圖二,非法使用者不需登入,就可以通過谷歌拼音輸入法的幫助選項,打開IE,并進一步打開cmd.exe等等其它程式,擷取非法權限。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME2.jpg
希望大家在以後的軟體開發中,不要重複微軟和Google犯的這個錯誤。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1555716