漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-04148
漏洞标题:搜狗输入法默认上传配置的问题
相关厂商:搜狗
漏洞作者: 路人甲
提交时间:2012-02-02 12:56
修复时间:2012-02-07 12:56
公开时间:2012-02-07 12:56
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:3
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-02-02: 细节已通知厂商并且等待厂商处理中
2012-02-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
搜狗输入法6.0版默认上传本地配置导致服务器端保存的配置在非用户授权情况下被更改
详细说明:
搜狗输入法6.0版默认上传本地配置导致服务器端保存的配置在非用户授权情况下被更改。首先,我们登录搜狗拼音输入法的个人账户,修改皮肤字体等本地配置,这时姑且称之为配置A状态,然后上传配置A到服务器端,见图一。
这样,当用户下次需要变更配置的时候,跟服务器端同步就可以了。但问题在于搜狗输入法会默认上传本地配置。所以当我们重装系统或者在其他pc上安装输入法的时候,输入法初始状态是B状态,只要一登录搜狗的个人账户,用户的配置B就会被上传,这是默认的,用户来不及更改,见图二。
于是服务器上的配置文件由A变成B,用户还要自己改回去,更换皮肤设置字体等等,非常麻烦,而且字体众多,很容易忘记而找不到原来用的字体。
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-02-07 12:56
厂商回复:
最新状态:
暂无