國家資通安全會報 技術服務中心

漏洞/資安訊息警訊
發布編號
ICST-ANA-2013-0020
發布時間　Tue Aug 27 11:45:53 CST 2013
事件類型　漏洞預警
發現時間　Fri Aug 16 00:00:00 CST 2013
警訊名稱　中文輸入軟體「自然輸入法」高風險漏洞警訊

內容說明
技服中心接獲外部情資，發現安裝於 Windows 7 作業系統之中文輸入軟體「自然輸入法」存在高風險漏洞。有心人士可於電腦螢幕鎖定的狀態下，不需要輸入使用者密碼解鎖螢幕，即可透過自然輸入法繞過螢幕鎖定密碼解鎖步驟，取得「系統管理者」權限，瀏覽主機資料夾、檔案或執行系統指令，進而對系統進行竊密、破壞或植入惡意程式等行為。
影響平台
安裝於 Windows 7 作業系統之自然輸入法第 8 版與第 9 版系列
影響等級　高

建議措施
1.自然輸入法開發廠商網際智慧股份有限公司表示，自然輸入法第 8 版僅支援作業系統 Windows XP 、 2000 及 2003 ，且已經停產（最後一版為 2007 年 1 月與 4 月），並不支援 Windows 7 作業系統，請移除在 Windows 7 作業系統已安裝之自然輸入法第 8 版。
2.更新在 Windows 7 作業系統已安裝之自然輸入法第 9 版至最新版本「V9.3 2013/08/26 編號 25810」。更新軟體下載頁面詳見參考資料，軟體更新與升級相關問題可直接聯繫自然輸入法開發廠商，聯絡資訊詳見參考資料。
3.已於 Windows 7 安裝自然輸入法第 8 版與第 9 版系列之使用者，應確認電腦是否已遭此漏洞危害，而被竊密、破壞或植入惡意程式等。
4.對自然輸入法仍有疑慮者，建議可改採用 Windows 7 所提供之中文輸入法或更換其他中文輸入法。
參考資料
1.自然輸入法第 9 版最新更新版本下載
http://www.iq-t.com/DOWNLOAD/
2.自然輸入法廠商網際智慧股份有限公司聯絡資訊
http://www.iq-t.com/INTRO/Intro_5.asp