著名安全博客称Vista SP1语音识别存在安全漏洞

　　赛迪网讯 2月27日消息，国外网站的一篇博客称，经过博主亲自测试发现，Vista SP1的语音识别组件仍存在安全漏洞。

　　据国外媒体报道，著名安全博客、ZDNet网站的技术主管GeorgeOu就VistaSP1语音识别的安全性撰文，以下是他的博客原文：

　　一年前安全专业人员SebastianKrahmer在Dailydave安全邮件列表中发出一个提问，即微软最新操作系统Vista的语音识别部件能否被恶意声音文件所利用，这种恶意文件可以被嵌入网站内容之中。

　　我最先回应了他的提问，当时只是有一点点怀疑，然而后来经过测试得出的结果让我很吃惊，漏洞的的确确存在。几个月前，在VistaSP1尚未最终完成之前围绕上述安全问题有许多相关说法，有的称SP1版本中将关闭语音识别部件中的漏洞，但虽经我多次追问，微软一直没有肯定或否定的答复。最后我决定亲自测试，安装上VistaSP1RTM之后经过测试发现这一漏洞仍然存在。

　　我创建的一个声音文件会自动设法唤醒Vista语音识别功能，通过WindowsExplorer勾选桌面上的所有文件和图片，然后自动启用shift -delete键，该组合键可永久删除文件，无法从回收站中恢复。我打开IE浏览器之后，系统会自动键入TinyURL地址，随后跳转到其它包含恶意代码的网站。由于Vista的语音识别功能尚无法改变用户帐户控制（UAC）设置，因此该漏洞的危害只限于用户空间，不过在用户空间中运行恶意代码也会导致非常严重的后果。

　　这一安全漏洞去年最初被发现时，围绕它的严重性在网上进行了激烈的争论。有人公开或私个批评我，说这一安全问题根本不存在，但ScottM.Fulton等人也认识到了问题的严重性，他将该漏洞称之为“低技术（low-tech）”的Vista漏洞。我想对于那些应用语音识别功能较多的肢体残疾人士来说，尤其要提防上述安全漏洞。如果不开启语音识别功能，那么该漏洞的影响显然为零，但如果打开语音识别功能，那么危害就是 100。尽管这部件特殊人群的数量不非常小，然而微软如果想让语音识别成为主流技术，那么它必须解决这一问题，要不为什么比尔·盖茨去年在一次主题演讲中称语音识别技术是WindowsVista的一项核心功能。

　　去年我曾提出了减小漏洞影响的两个建议：

　　不要允许普遍使用的“开始听”命令唤醒语音识别功能，不要让电脑自动播放的声音文件由语音识别引擎来完成。

　　我想大多数安全专家会赞同我的建议，微软本来有足足一年的时间来解决这一问题，他它没有去做，我认为这是微软在安全方面的一个很大的失误。