ATOK総合スレッド Part7 -
http://pc2.2ch.net/test/read.cgi/software/1070102837/792

ATOKの場合ATOKパレット(ツールバーみたいなやつ)からヘルプやユーザ登録用のURLショートカット(ブラウザが起動する)を呼び出せるのだけれど、スクリーンセーバーを解除した時とかに現れる[コンピュータのロックの解除]でユーザ名部分の漢字入力をするためATOKを呼び出した時もそれが操作できちゃったわけ。(ブラウザとかはウィンドウが画面に出てこないけれど、裏で動いていることがタスクマネージャで確認できる)
で、問題なのはこれらのプログラムがログイン中のアカウントではなくSYSTEMアカウントで動作するので権限を持たないユーザがタスクマネージャで確認するのはできないし、キーボードを触れるユーザならば好きなだけバックグラウンドで立ち上げられるのでキーボードロックも無意味になっちゃったってこと。
パッチ当てたらこれができなくなったから、このことを脆弱性と捉え修正されたのだと思われ。

この件。これが事実やったらでっかい穴やんか・・・。簡単に利用可能で、かなり致命的でもありますね。
ま、物理的なセキュリティ*1が守られていれば大丈夫ですが。