Vista SP1 до сих пор подвержена уязвимости в системе распознавания речи
Как оказалось, уязвимость в системе распознавания речи в Windows Vista, обнаруженная год назад, до сих пор представляет угрозу безопасности компьютеров под управлением Windows Vista.
Чуть больше года назад Себастиан Крамер (Sebastian Krahmer)
Созданный мною тестовый аудиофайл смог включить распознавание речи, выделить все файлы на рабочем столе или в моих документах через Windows Explorer, а также удалить их, не помещая в корзину. Данный файл также смог открыть Internet Explorer и перейти на TinyURL-адрес, с которого можно произвести редирект на страницу, содержащую вредоносный код. Несмотря на то, что ущерб ограничивается профилем пользователя, исполнение произвольного кода в профиле пользователя не сулит ничего хорошего.
Когда об этом впервые заговорили в прошлом году, это
В прошлом году я дал две рекомендации, которые позволяют избавиться от уязвимости:
- Запретите команду "start listening", включающую распознавание речи. Установите ключевую фразу типа "Дженни, слушай", если вы вдруг решили так назвать свой компьютер. Это существенно сократит вероятность реализации эксплойта.
- Запретите обработку воспроизводимого аудио-потока через движок распознавания речи. Несмотря на то, что это никоим образом не заглушит звук от близлежащих телевизоров, радио, компьютеров и людей, это также значительно сократит возможности успешной реализации эксплойта.
Думаю, что со мной согласится большинство секьюрити-экспертов, что мои рекомендации являются необходимых шагом в борьбе с данной уязвимостью. У Microsoft было более года на то, чтобы реализовать механизмы защиты от уязвимости и применить их в Vista SP1, но никаких действий сделано не было. На текущий момент наиболее эффективным способом борьбы с данной уязвимостью в Vista является отключение распознавания речи и использование наушников с микрофоном вместо более привычного микрофона.
Источник:
Перевод: deeper2k
Комментарии
Ага, все десять пользователей, которые используют это распознавание на постоянной основе, а не просто побаловаться после покупки Vista, видимо, остались незащищенными Кстати, с учетом того, что архитектура PC открытая как они собираются закрывать эту уязвимость - искуственным интеллектом, проверяющим какое устройство отправило звук? Архитектура винды в этом плане не особо для этого подходит
Espoir, ты думаешь, распознавалке речи так сложно узнать, что выводит на звуковую карту обычный браузер?
По теме
- Windows Vista официально "мертва"
- Завтра прекращается поддержка Windows Vista
- Остался последний месяц поддержки Windows Vista
- 11 апреля Microsoft прекратит поддержку Windows Vista
- Через год прекращается поддержка Windows Vista
- Microsoft открыла исходный код Open XML SDK
- Баллмер: Longhorn/Vista - моя самая серьезная ошибка
- Сегодня заканчивается бесплатная фаза поддержки Windows Vista и Office 2007
- Microsoft продлила срок поддержки Windows Vista и Windows 7
- Практики обеспечения безопасности Microsoft - лучшие в мире