细水 2007.04.09

漏洞播报

Windows Vista输入法状态判断错误绕过认证获取访问漏洞

发布日期:2007-04-05
更新日期:2007-04-09

受影响系统:

Microsoft Windows Vista

描述:


Windows输入法允许用户使用标准的101键盘输入中文等双字节语言。

Windows Vista提供的输入机制实现上存在设计漏洞,能够接触计算机终端或通过终端服务访问的攻击者可能利用此漏洞直接获得主机的管理员权限。

如果一个输入法被安装到系统,默认它也会出现在登录界面或锁屏状态中,这时操作系统应该根据自身运行状态提供不同的功能。然而,Windows Vista没有正确地检查当前系统的登录状态,错误地将一些危险功能提供给了还未登录进系统的用户。因此,如果恶意用户可以接触物理终端或者通过终端服务会话访问到受影响系统,通过执行输入法提供的某些帮助功能访问系统文件和程序绕过登录认证机制,直接获取系统的管理权限。s

此漏洞的利用与具体的各种输入法功能设计有关,目前已经确认可以利用的输入法有谷歌拼音输入法1.0.15.0及以下版本、极点五笔输入法,其他第三方的输入法也很可能受此问题影响。Vista自带输入法尚未发现存在这一问题。

<*来源:whero
  
  链接:http://www.newsmth.net/bbscon.php?bid=124&id=69632
*>

建议:


临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 卸载受影响的输入法或其他第三方输入法,使用vista自带的输入法如微软拼音或智能ABC等。

厂商补丁:

Microsoft
———
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com/technet/security/


您可以随意转载,但必须在显著位置标明 原创链接 和本 版权声明

本文链接: http://www.mcafeefans.com/?p=825

发表评论

电子邮件地址不会被公开。

:wink: :twisted: :roll: :mrgreen: 8) :-D :arrow: :-o more »

返回页首返回页尾