Vistas Spracherkennung ist verwundbar

Microsoft hat jetzt ein Leck in der Spracherkennung von Windows Vista bestätigt, über das einige Befehle ausgeführt werden können.

Zunächst häuften sich die Mitteilungen von Sicherheitsforschern, dass die Spracherkennung des Betriebssystems über bestimmte Angriffe ausgenutzt werden könne. Ein Beispiel ist eine Webseite, die über eine Audio-Datei, einen gesprochen Befehl absetzt, das Betriebssystem herunterzufahren.

Microsoft bestätigt zwar die Möglichkeit von Angriffen, hält diese aber nicht für besonders wahrscheinlich. “Um eine Attacke erfolgreich auszuführen, muss zunächst die Spracherkennungsfunktion aktiviert und konfiguriert sein”, so ein Mitglied des Microsoft-Sicherheitsteams in einem Blog. Zudem müsse der Rechner mit Lautsprechern und einem Mikrophon ausgerüstet sein. Auch müssten die Lautsprecher noch angeschaltet sein.

Dann könnte ein Angreifer gesprochene Kommandos über eine Webseite verbreiten. Diese würden dann über die Lautsprecher an das Mikrophon übertragen. Auch die Befehle, die der Angreifer auf dem so gekaperten System ausführen könnte, seien nicht kritisch, heißt es von Microsoft. Das Sicherheitsfeature ‘User Account Control’ lasse sich beispielsweise auf diese Weise nicht aushebeln, teilt das Sicherheitsteam mit.

Der Sicherheitsspezialist Symantec ist jedoch anderer Ansicht. So soll es möglich sein über die gekaperte Spracheingabe ohne das Zutun des Anwenders, eine ausführbare Datei auf das System zu laden. Außerdem lasse sich über die Spracheingabe das Dateisystem verändern, warnt Symantec. Von Microsoft liegt noch kein Advisory oder ein Workaround vor. Jedoch sollten Anwender bei der Installation von Vista darauf achten, das Sprach-Feature zu deaktivieren.