CVE-2000-0933 (CNNVD-200012-085)
中文标题:
微软简体中文输入法(IME)状态判断错误安全漏洞(MS00-069)
英文标题:
The Input Method Editor (IME) in the Simplified Chinese version of Windows 2000 does not disable acc...
漏洞描述
中文描述:
输入法编辑器(IME)使得用户可以使用标准的101键盘输入中文等双字节语言。 Windows 2000提供的简体中文输入法(IME)实现上存在漏洞,能物理接触计算机或通过终端服务访问的攻击者可以利用此漏洞直接获得主机的管理员权限。 如果一个IME在系统初始设置时被安装,缺省它也会出现在登录界面中。这时IME应当判断自身运行在什么环境中(例如,是本地系统还是用户环境),然后提供不同的功能。然而,Windows 2000提供的简体中文输入法(IME)没有正确的检查当前运行环境,错误的将一些危险功能提供给了还处于登录界面的用户。因此,如果恶意用户可以通过物理键盘或者终端服务会话访问到受影响系统,它就可以绕过登录机制,获得系统的管理权限。 这个漏洞缺省只影响Windows 2000简体中文版。对于其他版本的Windows 2000(例如英文版),只有默认设置时选择了安装简体中文IME, 才会受到影响。 NSFOCUS安全小组研究后发现,对于其他版本的Windows 2000(例如英文版),如果是在默认安装之后安装了简体中文IME或者其他第三方IME,在系统默认登录界面不会受到影响,但是处在"工作站锁定"状态的系统仍然受此问题的影响。恶意用户可以轻易突破锁定状态,进入系统。 另见NSFOCUS紧急安全公告(Alert2000-ch-001): http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=3
英文描述:
The Input Method Editor (IME) in the Simplified Chinese version of Windows 2000 does not disable access to privileged functionality that should normally be restricted, which allows local users to gain privileges, aka the "Simplified Chinese IME State Recognition" vulnerability.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| microsoft | windows_2000 | * | - | - |
cpe:2.3:o:microsoft:windows_2000:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:L/AC:L/Au:N/C:P/I:P/A:P
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2000-0933 |
2025-11-11 15:17:20 | 2025-11-11 07:32:12 |
| NVD | nvd_CVE-2000-0933 |
2025-11-11 14:50:25 | 2025-11-11 07:40:58 |
| CNNVD | cnnvd_CNNVD-200012-085 |
2025-11-11 15:08:39 | 2025-11-11 07:48:44 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200012-085
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 4.6
- cvss_vector: NOT_EXTRACTED -> AV:L/AC:L/Au:N/C:P/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']