谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇blog的时候,就用的是刚下载的谷歌拼音输入法。
但是,需要注意的是,谷歌拼音输入法的第一个版本(1.0.15.0)的Windows Vista实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本(1.0.16.0)中修复了。你可以从http://tools.google.com/pinyin/index.html获取最新的版本。Google的响应速度还是很快的。
那么,谷歌拼音输入法的安全漏洞是什么?这个安全漏洞和以前微软在Windows 2000上的简体中文输入法的安全漏洞非常相似(http://www.microsoft.com/technet/security/bulletin/ms00-069.mspx)。其根本原因在于,程序(输入法)应检测其UI用户界面目前是否运行在Windows的登录桌面(WinLogon Desktop)上。如果是的话,需要确保不能通过其UI打开其它应用程序窗口。
否则的话,可导致非法用户可以不经登录,就可以获取系统的相应权限。
具体到谷歌拼音输入法1.0.15.0,我们看一下:
图一,系统安装了谷歌拼音输入法,锁定机器。谷歌拼音输入法的用户界面出现在Windows Vista的登录界面上。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME1.jpg
图二,非法用户不需登录,就可以通过谷歌拼音输入法的帮助选项,打开IE,并进一步打开cmd.exe等等其它程序,获取非法权限。
http://p.blog.csdn.net/images/p_blog_csdn_net/chengyun_chu/291059/o_googleIME2.jpg
希望大家在以后的软件开发中,不要重复微软和Google犯的这个错误。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1555716