受影响的软件及系统:
====================
Microsoft Windows Vista
综述:
======
NSFocus安全小组得知Windows Vista存在输入法状态判断错误,能够接触计算机终端或通过终端服务访问的恶意用户可能利用此漏洞绕过登录认证获取机器的管理员权限。
此漏洞非常类似以前影响Windows 2000的MS00-069漏洞,虽然本质上是本地问题,但如果通过终端服务也有可能远程利用,利用MS00-069漏洞由此成为当年最流行的入侵Windows 2000系统的方法之一,当前这个漏洞与MS00-069在成因和利用方法也基本一致,绿盟科技提醒Vista用户保持足够警觉并采取相应的防范措施。
分析:
======
Windows输入法允许用户使用标准的101键盘输入中文等双字节语言。
Windows Vista提供的输入机制实现上存在设计漏洞,能够接触计算机终端或通过终端服务访问的攻击者可能利用此漏洞直接获得主机的管理员权限。
如果一个输入法被安装到系统,默认它也会出现在登录界面或锁屏状态中,这时操作系统应该根据自身运行状态提供不同的功能。然而,Windows Vista没有正确地检查当前系统的登录状态,错误地将一些危险功能提供给了还未登录进系统的用户。因此,如果恶意用户可以接触物理终端或者通过终端服务会话访问到受影响系统,通过执行输入法提供的某些帮助功能访问系统文件和程序绕过登录认证机制,直接获取系统的管理权限。
漏洞的利用与具体的各种输入法功能设计有关,目前已经确认可以利用的输入法有谷歌拼音输入法(1.0.15.0版本)、极点五笔输入法,其他设计不当的第三方的输入法也很可能受此问题影响。Vista自带输入法尚未发现存在这一问题。
解决方法:
==========
厂商补丁:
绿盟科技已将此漏洞通报微软,但目前还没有相应的安全补丁,建议用户参照绿盟科技提供临时解决方案处理,同时等待微软或输入法厂商提供产品更新。
Google已经发布了谷歌拼音输入法1.0.16.0,修复了这一问题。仍在使用1.0.15.0版本的用户可以去下载最新版本:
http://tools.google.com/pinyin/index.html临时解决方案:
在得到修复漏洞的补丁或输入法产品更新以前,NSFOCUS建议您采取以下措施以降低威胁:
* 卸载受影响的输入法或其他第三方输入法,使用Windows Vista自带的输入法,如微软拼音或智能ABC等。
附加信息:
==========
http://www.newsmth.net/bbscon.php?bid=124&id=69632http://www.nsfocus.net/vulndb/10162
