IT之家 8 月 5 日消息，據(jù)財聯(lián)社報道，有市民近日收到了工作單位的通知，要求卸載搜狗輸入法。漏洞通報顯示，部分版本搜狗輸入法可繞過密碼，獲取系統(tǒng)權(quán)限。搜狗輸入法回應(yīng)稱，該問題是由于微軟屏幕鍵盤等相關(guān)程序主動以特權(quán)接口加載中文輸入法導(dǎo)致。

據(jù)國家信息安全漏洞庫一份來自盛邦安全的漏洞通報顯示，在微軟 Windows 操作系統(tǒng)下，攻擊者可以通過部分版本搜狗輸入法繞過系統(tǒng)登錄密碼，在鎖屏的情況下執(zhí)行 CMD 命令，獲取本機系統(tǒng)權(quán)限。

據(jù)了解，攻擊者可利用該漏洞，通過部分遠程控制程序，在不知道目標(biāo)機的用戶名和密碼的情況下，直接重置管理員密碼。

通報稱，該漏洞源于系統(tǒng)對搜狗輸入法運行權(quán)限過高，使搜狗輸入法在未授權(quán)情況下也能運行，且搜狗輸入法自身權(quán)限驗證不嚴(yán)謹(jǐn)導(dǎo)致，攻擊者成功利用漏洞后可在目標(biāo)系統(tǒng)執(zhí)行任意命令。

通報中建議，請關(guān)注廠商更新，及時升級版本。在官方暫未發(fā)布新版本前，建議先卸載搜狗輸入法，更換其他輸入法。

對此，搜狗輸入法昨日回應(yīng)稱，經(jīng)安全團隊排查，該問題僅存在于特定版本 Windows 系統(tǒng)，是由于微軟屏幕鍵盤等相關(guān)程序主動以特權(quán)接口加載中文輸入法導(dǎo)致，“我們已將此系統(tǒng)漏洞通知微軟相關(guān)團隊。”

“在微軟修復(fù)該漏洞前，為更有效保護用戶安全，我們已采取了主動規(guī)避措施，在 Windows 登錄界面下搜狗輸入法將主動退出加載執(zhí)行。”搜狗輸入法補充道。

IT之家發(fā)現(xiàn)，目前網(wǎng)上流傳著不少繞過鎖屏的教程，其中涉及搜狗輸入法的“游戲中心”版塊，可在 Windows 鎖屏界面直接彈出游戲中心窗口，并打開 QQ 下載界面。通過下載 QQ 打開 Windows 系統(tǒng)文件管理器，然后就能打開 CMD 窗口。