扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年8月31日
关键字: Windows Vista Vista
4月4日早,谷歌中国低调发布谷歌拼音,4月5日晚即爆出谷歌拼音与Vista系统的严重问题:通过谷歌拼音输入法,任何用户都可以非法操作个人计算机(详情请点击:谷歌拼音与Vista严重冲突 可绕开登录系统)!直至目前,主流媒体尚未对此做出任何报道。
据网友透露,在Vista平台下,使用谷歌拼音输入法的用户系统可能会遭到严重破坏。以下是水木社区网友所发原帖保存截图(为保证原文的完整与统一,笔者未作任何修改):
图 谷歌拼音与Vista严重冲突
说到上述的这个漏洞,笔者无法不说在Windows 2000时代曝出的让微软颜面全无的“巨无霸”式的漏洞:输入法漏洞。
在Windows 2000登录界面上,把鼠标放到用户名框里点击一下,用Ctrl+Shift切换输入至全拼输入法,这时在登录界面左下角将出现输入法状态条,用鼠标右键点击状态条,在弹出菜单中选择“帮助”,把鼠标移到帮助上,在新弹出的选项里选择“输入法入门”,然后就会弹出一个叫“输入法操作指南”的帮助窗口。
这个窗口里有个栏目是“选项”,把鼠标放在该项上面点击右键,在新弹出的小窗口里选择“跳至URL”。此时将出现Windows 2000的系统安装路径和要求我们填入的路径的空白栏。
假设系统安装在C盘上,就在空白栏中填入“c:Windowsntsystem32”,然后按,在“输入法操作指南”右边的框里就会出现c:Windowsntsystem32目录下的内容。这就成功地绕过了身份验证,进入了系统。
该漏洞后来被微软的一个补丁予以封堵,但是时至今日,又曝出谷歌拼音与Vista系统的严重冲突,情形与Windows 2000时代十分相似。难道利用谷歌拼音真的是可以绕开Vista的登录系统为所欲为么?
据笔者前后多次试验,利用谷歌拼音确实可以绕开系统登录口令,但是情况没有那那么严重,而且是局限性很大。如果你的计算机面对的是一个对系统命令不是特别熟悉的用户,基本不会有太大问题。
但是笔者也特别说明,利用谷歌拼音确实可以绕开登录口令,并调用IE上网。
以下是笔者前后的几次试验经过和结果:
当用户看到Vista系统登录界面时,笔者按下“Ctrl+Shift”组合键,却并没有调出谷歌拼音书法,只有系统自带的微软拼音输入法(如图1):
图1 登录界面
这是为什么?难道网友所说的有错么?或者这只是推迟的“愚人节”玩笑?带着狐疑,笔者登录了系统,然后点击“开始”→锁定计算机,此时笔者再次按下“Ctrl+Shift”组合键(或者直接在左下角点击输入法,选择谷歌拼音也可以)却调用出了谷歌拼音输入法,如图2):
图2 锁定登录状态时可以调用谷歌输入法
为了确保这样的情形不是“偶然的”,笔者将机器重启三次,一共做了六次测试发现情形还是与上述的情况一致。
这说明,如果用户是冷启动系统,而不是在由锁定状态企图登录系统,谷歌拼音是无法对Vista系统造成任何损害的,所谓的“谷歌拼音与Vista冲突”的说法也就不复存在了。
虽然排除了冷启动的危害,但是谷歌对Vista系统潜在的极度危害依然存在。为什么呢?请看笔者的进一步实验。
在系统登录的锁定状态下,调出谷歌拼音输入法,然后右键单击谷歌输入法图标,选择“帮助”(如图3):
图3 调出谷歌拼音 右键单击它选择“帮助”
单击“帮助”命令后,谷歌拼音将会自动调用它的“在线帮助”系统,这也就是等于间接打开了IE(如图4)!
图4 谷歌拼音在线帮助系统打开了IE
非法用户不用登录系统就可以调用IE,这也就意味着他可以使用IE做很多具有破坏性的事,比如下载病毒,安装木马等,所有网络上存在的坏事,他都可以做。
此外,如果企图登录你系统的非法用户对计算机系统命令非常熟悉,那么你所要遭受的破坏将是“毁灭性”的。请看图5,用户在IE中可以打开文件目录:
图5 打开文件目录
在图5状态下输入的命令在执行后,并不在登录界面前显示,必须是登录到系统之后才可以看到。所以说,如果非法用户如果很熟悉系统路径、命令,以及参数执行方法,那么他可以随意的删除、破坏,或者格式化你的系统!
直到目前,微软官方和Google(谷歌拼音)并为对此事发表看法,也没有推出相应的补丁和更新程序。面对这样的问题,如果你的机器内存有非常重要的文件和资料,建议最好先不使用谷歌拼音。
Google一直对操作系统蠢蠢欲动,并已经推出了相关的“测试版”,如图6、7、8、9所示。难道这是Google故意给Vista来一个下马威?如果真的是这样,用一个小小的输入法让微软出丑,未免太不够“君子”。
Google系统引导过程
Google操作系统截图
Google操作系统截图
Google操作系统截图
Google操作系统截图
当然,用输入法让微软出丑的说法,只是笔者个人的“搞笑猜想”,我想更多的应该还是“软件冲突”层面上的问题。
摆在大家面前的是问题依然存在,我们这些普通用户最关心的是谁来解决这一严重问题。中关村在线Vista频道将会继续关注这一“冲突事件”的进展,请大家随时关注。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。