最近，某些雷蛇鼠標(biāo)被發(fā)現(xiàn)存在巨大的安全漏洞，允許任何用戶獲得對(duì) PC 的管理員級(jí)別訪問(wèn)權(quán)限。

推特用戶jonhat發(fā)現(xiàn)，在安裝雷蛇鼠標(biāo)時(shí)啟動(dòng)的安裝軟件會(huì)意外地讓用戶可以讓他們使用標(biāo)準(zhǔn)的非管理員賬號(hào)登錄時(shí)以系統(tǒng)級(jí)別訪問(wèn) Windows 的文件瀏覽器。

當(dāng)任何新的 USB 設(shè)備插入運(yùn)行 Windows 系統(tǒng)的電腦時(shí)，該設(shè)備會(huì)臨時(shí)獲得系統(tǒng)級(jí)別的訪問(wèn)權(quán)限（這是 Windows 用戶層次結(jié)構(gòu)中的最高權(quán)限級(jí)別），因此驅(qū)動(dòng)程序可以安裝在 Windows 文件夾中。這通常是一個(gè)不涉及用戶的后臺(tái)進(jìn)程。

但是，首次插入雷蛇鼠標(biāo)會(huì)打開(kāi) Razer Synapse 軟件的安裝程序，讓用戶可以選擇安裝軟件的位置。

如果用戶選擇更改默認(rèn)安裝位置，該軟件將打開(kāi)一個(gè)文件資源管理器窗口，讓他們選擇一個(gè)新的安裝文件夾。但是，由于此窗口是在安裝過(guò)程中打開(kāi)的，因此該軟件仍具有系統(tǒng)級(jí)權(quán)限，這意味著用戶在技術(shù)上具有管理員訪問(wèn)權(quán)限。

Jonhat 發(fā)現(xiàn)，通過(guò)在此窗口上按住 Shift 鍵右鍵點(diǎn)擊，用戶可以打開(kāi)一個(gè) Windows Powershell 窗口，這為他們提供了一個(gè)具有完全管理員權(quán)限的命令行窗口。

在 PC 上具有管理員訪問(wèn)權(quán)限的用戶可以完全控制 PC 的軟件和設(shè)置。他們可以訪問(wèn) PC 上的所有文件、更改安全設(shè)置以及安裝軟件和硬件。

理論上最壞的情況下，擁有雷蛇鼠標(biāo)的人可以使用此變通方法在未得到適當(dāng)保護(hù)的 PC（網(wǎng)吧、辦公室、朋友的電腦）上安裝惡意軟件或間諜軟件（例如鍵盤(pán)輸入記錄軟件）。

在 jonhat 發(fā)現(xiàn)這一漏洞幾天后，他在推特上發(fā)帖稱，雷蛇已與他聯(lián)系，并告訴他其安全團(tuán)隊(duì)正在“盡快修復(fù)”。

但是，其他用戶此后在其他帶有安裝軟件的 USB 硬件中發(fā)現(xiàn)了類似問(wèn)題，例如游戲硬件公司賽睿的軟件，因此看來(lái)這是一個(gè)系統(tǒng)安全漏洞，可能需要由微軟自己解決。