Specjaliści z firmy Fortinet wykryli poważny błąd w zabezpieczeniach oprogramowania Microsoft Speech ( służącego m.in. do rozpoznawania mowy ). Luka umożliwia wywołanie błędu przepełnienia bufora i przejęcie pełnej kontroli nad zaatakowaną maszyną.
Microsoft Speech to aplikacja, dzięki której komputer może rozpoznawać ludzką mowę, a także "odczytywać" tekst. Oprogramowanie to wykorzystywane jest m.in. przez niepełnosprawnych użytkowników Windows, a także przez firmy - np. w zautomatyzowanych systemach zgłoszeniowych. Koncern wykorzystuje w MS Speech technologię przejętej niedawno firmy Tellme Networks.
Eksperci z Fortinet wykryli, że oprogramowanie to w wersji 4.0 korzysta z dziurawych kontrolek ActiveX - chodzi o xlisten.dll oraz xvoice.dll. Okazuje się, że podsunięcie im odpowiednio spreparowanego obiektu ActiveX może wywołać błąd przepełnienia bufora, co z kolei pozwoli "napastnikowi" na uruchomienie w systemie nieautoryzowanego kodu i przejęcie pełnej kontroli nad nim.
Microsoft załatał już ów błąd - poprawka usuwająca lukę w MS Speech znalazła się w udostępnionym we wtorek czerwcowym pakiecie uaktualnień - http://www.pcworld.pl/news/113665.html.
