Microsoft: "rozgadana" luka

Specjaliści z firmy Fortinet wykryli poważny błąd w zabezpieczeniach oprogramowania Microsoft Speech (służącego m.in. do rozpoznawania mowy). Luka umożliwia wywołanie błędu przepełnienia bufora i przejęcie pełnej kontroli nad zaatakowaną maszyną.

Microsoft Speech to aplikacja, dzięki której komputer może rozpoznawać ludzką mowę, a także "odczytywać" tekst. Oprogramowanie to wykorzystywane jest m.in. przez niepełnosprawnych użytkowników Windows, a także przez firmy - np. w zautomatyzowanych systemach zgłoszeniowych. Koncern wykorzystuje w MS Speech technologię przejętej niedawno firmy Tellme Networks.

Eksperci z Fortinet wykryli, że oprogramowanie to w wersji 4.0 korzysta z dziurawych kontrolek ActiveX - chodzi o xlisten.dll oraz xvoice.dll. Okazuje się, że podsunięcie im odpowiednio spreparowanego obiektu ActiveX może wywołać błąd przepełnienia bufora, co z kolei pozwoli "napastnikowi" na uruchomienie w systemie nieautoryzowanego kodu i przejęcie pełnej kontroli nad nim.

Microsoft załatał już ów błąd - poprawka usuwająca lukę w MS Speech znalazła się w udostępnionym we wtorek czerwcowym pakiecie uaktualnień.


Zobacz również