發布編號

ICST-ANA-2013-0020

發布時間

Tue Aug 27 11:45:53 CST 2013

事件類型

漏洞預警

發現時間

Fri Aug 16 00:00:00 CST 2013

警訊名稱

中文輸入軟體「自然輸入法」高風險漏洞警訊

內容說明

技服中心接獲外部情資，發現安裝於?Windows 7?作業系統之中文輸入軟體「自然輸入法」存在高風險漏洞。有心人士可於電腦螢幕鎖定的狀態下，不需要輸入使用者密碼解鎖螢幕，即可透過自然輸入法繞過螢幕鎖定密碼解鎖步驟，取得「系統管理者」權限，瀏覽主機資料夾、檔案或執行系統指令，進而對系統進行竊密、破壞或植入惡意程式等行為。

影響平台

安裝於?Windows 7?作業系統之自然輸入法第8版與第9版系列

影響等級

高

建議措施

1.自然輸入法開發廠商網際智慧股份有限公司表示，自然輸入法第8版僅支援作業系統Windows XP、2000及2003，且已經停產（最後一版為2007年1月與4月），並不支援Windows 7作業系統，請移除在?Windows 7?作業系統已安裝之自然輸入法第8版。

2.更新在?Windows 7?作業系統已安裝之自然輸入法第9版至最新版本「V9.3 2013/08/26?編號25810」。更新軟體下載頁面詳見參考資料，軟體更新與升級相關問題可直接聯繫自然輸入法開發廠商，聯絡資訊詳見參考資料。

3.已於?Windows 7?安裝自然輸入法第8版與第9版系列之使用者，應確認電腦是否已遭此漏洞危害，而被竊密、破壞或植入惡意程式等。

4.對自然輸入法仍有疑慮者，建議可改採用?Windows 7?所提供之中文輸入法或更換其他中文輸入法。

參考資料

1.自然輸入法第9版最新更新版本下載

http://www.iq-t.com/DOWNLOAD/

2.自然輸入法廠商網際智慧股份有限公司聯絡資訊

http://www.iq-t.com/INTRO/Intro_5.asp

此類通告發送對象為通報應變網站登記之資安聯絡人。若貴?單位之資安聯絡人有變更，可逕自登入通報應變網站（https://www.ncert.nat.gov.tw）進行修改。若您仍為貴單位之資安聯絡人但非本事件之處理人員，請協助將此通告告知相關處理人員。

如果您對此通告的內容有疑問或有關於此事件的建議，請勿直接回覆此信件，請以下述聯絡資訊與我們連絡。國家資通安全會報?技術服務中心?(http://www.icst.org.tw/)
地?址：?台北市富陽街116號
聯絡電話：?02-27339922
傳真電話：?02-27331655
電子郵件信箱：?service@icst.org.tw