漏洞概要 关注数(0) 关注此漏洞
缺陷编号: WooYun-2012-04148
漏洞标题: 搜狗输入法默认上传配置的问题
相关厂商: 搜狗
漏洞作者: 路人甲
提交时间: 2012-02-02
公开时间: 2012-02-07
漏洞类型: 设计缺陷/逻辑错误
危害等级: 低
自评Rank: 3
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org
Tags标签: 设计不当 客户端程序设计错误 非安全类bug
漏洞详情
披露状态:
2012-02-02: 细节已通知厂商并且等待厂商处理中
2012-02-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
搜狗输入法6.0版默认上传本地配置导致服务器端保存的配置在非用户授权情况下被更改
详细说明:
搜狗输入法6.0版默认上传本地配置导致服务器端保存的配置在非用户授权情况下被更改。首先,我们登录搜狗拼音输入法的个人账户,修改皮肤字体等本地配置,这时姑且称之为配置A状态,然后上传配置A到服务器端,见图一。
这样,当用户下次需要变更配置的时候,跟服务器端同步就可以了。但问题在于搜狗输入法会默认上传本地配置。所以当我们重装系统或者在其他pc上安装输入法的时候,输入法初始状态是B状态,只要一登录搜狗的个人账户,用户的配置B就会被上传,这是默认的,用户来不及更改,见图二。
于是服务器上的配置文件由A变成B,用户还要自己改回去,更换皮肤设置字体等等,非常麻烦,而且字体众多,很容易忘记而找不到原来用的字体。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-02-02
厂商回复:
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
