漏洞类型 |
权限绕过 |
漏洞等级 |
严重 |
漏洞编号 |
- |
漏洞评分 |
9.8 |
利用复杂度 |
低 |
影响组件 |
搜狗输入法 |
利用方式 |
本地 |
POC/EXP |
已公开 |
搜狗输入法是一款由搜狗公司开发的,基于搜索引擎技术的、特别适合网民使用的、新一代的输入法产品,用户可以通过互联网备份自己的个性化词库和配置信息。搜狗输入法的前身是搜狗拼音输入法,自2006年6月推出以来,因其用户体验佳、词库丰富、输入准确、智能等特点,深受广大网民喜爱.目前官网最新版本为14.7,已验证存在漏洞。
在windows部分系统中安装了搜狗输入法后,在登录页面密码输入框由鼠标进行拖拽弹出搜狗输入法后,可以进入搜狗输入法的游戏中心,下载或试玩游戏时会弹出QQ登录提示框,因下载QQ时需要选择文件存储位置会弹出文件夹选项框,在文件夹选项框中可以执行系统命令,从而导致可以绕过密码登录直接获取系统的权限。
目前受影响的版本:windows部分系统,通过远程桌面无法利用。
官方还未发布修复方案或新版本,建议卸载搜狗输入法。
https://www.bilibili.com/video/BV15F82esEQa/?spm_id_from=888.80997.embed_other.whitelist&t=1.413405&bvid=BV15F82esEQa&vd_source=26a537bf48f552e2ffb886e5017b330e
https://pinyin.sogou.com/windows/?r=mac&t=pinyin
原文始发于微信公众号(Beacon Tower Lab):【漏洞预警】搜狗输入法绕过windows锁屏机制获取系统权限
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论