被曝可繞過鎖屏？搜狗輸入法回應稱微軟 Windows 漏洞，14.7 正式版更新已修復

IT之家 8 月 5 日消息，據財聯社報道，有市民近日收到了工作單位的通知，要求卸載搜狗輸入法。漏洞通報顯示，部分版本搜狗輸入法可繞過密碼，獲取系統(tǒng)權限。搜狗輸入法回應稱，該問題是由于微軟屏幕鍵盤等相關程序主動以特權接口加載中文輸入法導致。

據國家信息安全漏洞庫一份來自盛邦安全的漏洞通報顯示，在微軟 Windows 操作系統(tǒng)下，攻擊者可以通過部分版本搜狗輸入法繞過系統(tǒng)登錄密碼，在鎖屏的情況下執(zhí)行 CMD 命令，獲取本機系統(tǒng)權限。

據了解，攻擊者可利用該漏洞，通過部分遠程控制程序，在不知道目標機的用戶名和密碼的情況下，直接重置管理員密碼。

通報稱，該漏洞源于系統(tǒng)對搜狗輸入法運行權限過高，使搜狗輸入法在未授權情況下也能運行，且搜狗輸入法自身權限驗證不嚴謹導致，攻擊者成功利用漏洞后可在目標系統(tǒng)執(zhí)行任意命令。

通報中建議，請關注廠商更新，及時升級版本。在官方暫未發(fā)布新版本前，建議先卸載搜狗輸入法，更換其他輸入法。

對此，搜狗輸入法昨日回應稱，經安全團隊排查，該問題僅存在于特定版本 Windows 系統(tǒng)，是由于微軟屏幕鍵盤等相關程序主動以特權接口加載中文輸入法導致，“我們已將此系統(tǒng)漏洞通知微軟相關團隊?！?/p>

“在微軟修復該漏洞前，為更有效保護用戶安全，我們已采取了主動規(guī)避措施，在 Windows 登錄界面下搜狗輸入法將主動退出加載執(zhí)行?！彼压份斎敕ㄑa充道。

IT之家發(fā)現，目前網上流傳著不少繞過鎖屏的教程，其中涉及搜狗輸入法的“游戲中心”版塊，可在 Windows 鎖屏界面直接彈出游戲中心窗口，并打開 QQ 下載界面。通過下載 QQ 打開 Windows 系統(tǒng)文件管理器，然后就能打開 CMD 窗口。

8 月 2 日，搜狗輸入法發(fā)布 14.7 正式版，宣布已修復部分版本 Windows 系統(tǒng)鎖屏狀態(tài)下可通過三方輸入法提權的問題。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。