главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Microsoft HoloLens: голографические чаты не за горами
  • В Windows 10 Mobile появится сброс настроек приложений
  • В Windows 10 станет удобнее делиться контентом
  • Как оказалось, уязвимость в системе распознавания речи в Windows Vista, обнаруженная год назад, до сих пор представляет угрозу безопасности компьютеров под управлением Windows Vista.

    Чуть больше года назад Себастиан Крамер (Sebastian Krahmer) опубликовал на секьюрити-сайте Dailydave вопрос о том возможности реализации уязвимости в системе распознавания речи в Vista через специальным образом созданные звуковые файлы, размещенные на Интернет-сайтах. Я был первым, кто ответил на его вопрос с некоторым спепсисом, но позднее, проведя ряд тестов, я осознал свою ошибку и подтвердил наличие уязвимости. История нашла свое продолжение за несколько месяцев до завершения работ над Vista SP1, который должен был прикрыть эту уязвимость. Однако, все мои попытки получить подтверждение или опровержение данной информации не увенчались успехом. В результате, заполучив в свои руки Vista SP1 RTM, я решил самостоятельно все прверить. И как выяснилось, уязвимость до сих пор существует.

    Созданный мною тестовый аудиофайл смог включить распознавание речи, выделить все файлы на рабочем столе или в моих документах через Windows Explorer, а также удалить их, не помещая в корзину. Данный файл также смог открыть Internet Explorer и перейти на TinyURL-адрес, с которого можно произвести редирект на страницу, содержащую вредоносный код. Несмотря на то, что ущерб ограничивается профилем пользователя, исполнение произвольного кода в профиле пользователя не сулит ничего хорошего.

    Когда об этом впервые заговорили в прошлом году, это привело к появления многочисленных споров о серьезности данной уязвимости. Люди открыто критиковали меня за то, что я назвал эту уязвимость серьезной, но были и те, кто признали серьезность так называемого "low-tech" Vista-эксплойта. Другие же специалисты, как Райан Нарейн (Ryan Naraine) и Тьерри Золлер (Thierry Zoller) посчитали, что не стоит так серьезно относится в проблеме. Но я искренне считаю, что среди инвалидов есть много тех, кому реально нужна функция распознавания речи. Смысл в том, что уязвимость не может нанести ущерба пользователям, которые ей не пользуются, но ее влияние на людей, которые постоянно используют функцию распознавания речи с помощью настольного микрофона и колонок, крайне велико. А поскольку количество тех, кто использует функцию, пока невелико, если Microsoft сделать эту технологию мейнстримом , то ей стоит уже сегодня прикрыть уязвимость. Если нет, то какой смысл в речи Билла Гейтса (Bill Gates), в прошлом году назвавшего распознавание речи ключевой функцией Windows Vista?

    В прошлом году я дал две рекомендации, которые позволяют избавиться от уязвимости:

    • Запретите команду "start listening", включающую распознавание речи. Установите ключевую фразу типа "Дженни, слушай", если вы вдруг решили так назвать свой компьютер. Это существенно сократит вероятность реализации эксплойта.

    • Запретите обработку воспроизводимого аудио-потока через движок распознавания речи. Несмотря на то, что это никоим образом не заглушит звук от близлежащих телевизоров, радио, компьютеров и людей, это также значительно сократит возможности успешной реализации эксплойта.

    Думаю, что со мной согласится большинство секьюрити-экспертов, что мои рекомендации являются необходимых шагом в борьбе с данной уязвимостью. У Microsoft было более года на то, чтобы реализовать механизмы защиты от уязвимости и применить их в Vista SP1, но никаких действий сделано не было. На текущий момент наиболее эффективным способом борьбы с данной уязвимостью в Vista является отключение распознавания речи и использование наушников с микрофоном вместо более привычного микрофона.

    Источник: thevista.ru
    Перевод: deeper2k


    Оцените статью:
    Голосов 0

    Материалы по теме:
  • Серьезная уязвимость обнаружена в ОС Windows
  • Microsoft заделала дыры в Windows и Internet Explorer
  • Windows 7 будет сосредоточена на новых интерфейсах ввода информации
  • В Windows Vista обнаружена новая уязвимость
  • Наличие уязвимости в Windows Vista подтверждено Microsoft еще в 2006


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет восемь минус четыре?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+