2008年2月17日消息，國(guó)外網(wǎng)站的一篇博客稱，經(jīng)過博主親自測(cè)試發(fā)現(xiàn)，Vista SP1的語音識(shí)別組件仍存在安全漏洞。

據(jù)國(guó)外媒體報(bào)道，著名安全博客、ZDNet網(wǎng)站的技術(shù)主管George Ou就Vista SP1語音識(shí)別的安全性撰文，以下是他的博客原文：

一年前安全專業(yè)人員Sebastian Krahmer在Dailydave安全郵件列表中發(fā)出一個(gè)提問，即微軟最新操作系統(tǒng)Vista的語音識(shí)別部件能否被惡意聲音文件所利用，這種惡意文件可以被嵌入網(wǎng)站內(nèi)容之中。我最先回應(yīng)了他的提問，當(dāng)時(shí)只是有一點(diǎn)點(diǎn)懷疑，然而后來經(jīng)過測(cè)試得出的結(jié)果讓我很吃驚，漏洞的的確確存在。幾個(gè)月前，在Vista SP1尚未最終完成之前圍繞上述安全問題有許多相關(guān)說法，有的稱SP1版本中將關(guān)閉語音識(shí)別部件中的漏洞，但雖經(jīng)我多次追問，微軟一直沒有肯定或否定的答復(fù)。最后我決定親自測(cè)試，安裝上Vista SP1 RTM之后經(jīng)過測(cè)試發(fā)現(xiàn)這一漏洞仍然存在。

我創(chuàng)建的一個(gè)聲音文件會(huì)自動(dòng)設(shè)法喚醒Vista語音識(shí)別功能，通過Windows Explorer勾選桌面上的所有文件和圖片，然后自動(dòng)啟用shift-delete鍵，該組合鍵可永久刪除文件，無法從回收站中恢復(fù)。我打開IE瀏覽器之后，系統(tǒng)會(huì)自動(dòng)鍵入TinyURL地址，隨后跳轉(zhuǎn)到其它包含惡意代碼的網(wǎng)站。由于Vista的語音識(shí)別功能尚無法改變用戶帳戶控制（UAC）設(shè)置，因此該漏洞的危害只限于用戶空間，不過在用戶空間中運(yùn)行惡意代碼也會(huì)導(dǎo)致非常嚴(yán)重的后果。

這一安全漏洞去年最初被發(fā)現(xiàn)時(shí)，圍繞它的嚴(yán)重性在網(wǎng)上進(jìn)行了激烈的爭(zhēng)論。有人公開或私個(gè)批評(píng)我，說這一安全問題根本不存在，但Scott M. Fulton等人也認(rèn)識(shí)到了問題的嚴(yán)重性，他將該漏洞稱之為“低技術(shù)（low-tech）”的Vista漏洞。我想對(duì)于那些應(yīng)用語音識(shí)別功能較多的肢體殘疾人士來說，尤其要提防上述安全漏洞。如果不開啟語音識(shí)別功能，那么該漏洞的影響顯然為零，但如果打開語音識(shí)別功能，那么危害就是100。盡管這部件特殊人群的數(shù)量不非常小，然而微軟如果想讓語音識(shí)別成為主流技術(shù)，那么它必須解決這一問題，要不為什么比爾·蓋茨去年在一次主題演講中稱語音識(shí)別技術(shù)是 Windows Vista的一項(xiàng)核心功能。

去年我曾提出了減小漏洞影響的兩個(gè)建議：

不要允許普遍使用的“開始聽”命令喚醒語音識(shí)別功能，不要讓電腦自動(dòng)播放的聲音文件由語音識(shí)別引擎來完成。

我想大多數(shù)安全專家會(huì)贊同我的建議，微軟本來有足足一年的時(shí)間來解決這一問題，他它沒有去做，我認(rèn)為這是微軟在安全方面的一個(gè)很大的失誤。

標(biāo)簽： 安全 代碼 漏洞 媒體

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。