已经确认:谷歌输入法在Windows Vista下包含漏洞,慎用

2007年4月6日 | 分类: 信息安全 | 标签:

昨天发布的谷歌拼音输入法,安装在Vista上之后会重现当年经典的Windows 2000 输入法漏洞..可以在右键菜单中调用系统程序,不需要密码的情况下取得system权限.话说N年前,Windows 2000 中文版存在一个输入法漏洞,当时漏洞一出,Win2k的登录基本废了,直到ServicePack补上这个东西.可是,这个问题在Vista上又重现了,之所以说Vista,而不说XPSP2,是因为反正在我的Eng XP SP2上没复现
过程基本和当年的那个漏洞利用方式一样,IE出来后,就可以展开想像了,只不过稍微绕些弯路,不过结果是令人满意的,因为就在那个vista的登录画面上,跑出了cmd,我特意验证了一下:
c:/Windows/system32/config/systemprofile/Desktop>whoami
nt authority/system
c:/Windows/system32/config/systemprofile/Desktop>
在这个cmd里面,可以跑regedit,甚至可以跑explorer.exe,在登录界面把windows任务栏整出来,不过资源管理器貌似不行.更多的也懒得试了,因为到目前为止,已经可以干很多事了,OMG,vista的system权限…
所以,目前这个版本的Google PY,在vista下,有隐私癖的xdjm们,请慎用!
来源:水木社区

目前还没有任何评论.