Vista語音辨識功能含有漏洞

微軟最新作業系統Windows Vista才一發表，就有部落客及資安業者相繼測試Vista傳說中的語音辨識功能漏洞，發現該語音辨識功能的確可讓駭客透過惡意的聲音檔案命令系統執行某些指令，微軟則證實，針對該漏洞的攻擊在技術上是可行的，但實際上則威脅不大。

早在Vista還沒發表前，就有人在網路上討論此一語音辨識功能潛藏的安全風險，而CNET Networks旗下TechRepublic網站的技術總監George Ou則在Vista發表的當天（1/30）於部落格中表示，他實際測試此一語音辦識系統，並證實這是第一個Vista的遠端攻擊漏洞。

微軟也坦承此一安全漏洞，並表示正在進行調查。微軟認為該漏洞的影響並不大，但資安業者賽門鐵克認為該漏洞的風險比微軟所說的要嚴重一點，因為已經有人成功測試讓使用者下載並執行網路上的惡意檔案，而且在不要求使用者互動下就能處理檔案系統。

微軟安全回應中心計畫經理Adrian Stone說明，一個成功的攻擊有許多條件，包括使用者必須事先啟動及配置Vista中的語音辨識功能，此外，該系統必須具備喇叭與麥克風，而且都必須打開。此一漏洞可能的被駭模式是該語音辨識系統透過麥克風辨認並執行那些諸如拷貝、刪除或關閉電腦等指令。這些惡意語音檔案可能透過網站或是電子郵件散佈。

Adrian Stone說，除了上述條件外，使用者也必須不在電腦前，以讓這些惡意指令可以順利運作。Adrian Stone並強調，Vista的使用者帳號控制（User Account Control，UAC）功能無法透過語音命令執行，因此駭客不能透過此一方法建立使用者權限。

語音辨識系統是特別為殘障人士所設計的，在XP作業系統中即有該功能，不過微軟表示Vista中的語音辨識功能較容易操作，也支援更多的命令功能。（編譯/陳曉莉）