Audiobestanden kunnen gevaar vormen voor Vista
Gepubliceerd: Donderdag 1 februari 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Het is mogelijk om in Vista commando's te laten uitvoeren middels audiobestanden die worden afgespeeld via websites.
De gevaarlijkste opdrachten kunnen met deze truc vrijwel niet worden uitgevoerd, omdat het daarvoor nodig is om user account control (uac) in Vista te omzeilen. Wel is het onder meer mogelijk om via audio-opdrachten bestanden weg te gooien zonder een wachtwoord te hoeven geven.
Diverse veiligheidsexperts hebben dit grappige 'veiligheidslek' al met succes uitgebuit, zo blijkt uit een e-mailwisseling op de Dailydave-beveiligingsmailinglijst.
"Ik heb dit scenario getest en het werkt", schrijft Rich Mogull op de mailinglijst. "Het zou zelfs kunnen werken met een tv-programma dat de opdracht geeft om alle documenten te vernietigen", stelt George Ou, een blogger van Zdnet.
Microsoft wijst er op dat het niet waarschijnlijk is dat het lek snel zal worden misbruikt. "Voor een succesvolle aanval is het nodig dat een gebruiker een microfoon en speakers heeft verbonden met zijn systeem. Bovendien moet de gebruiker de spraakherkenningsfunctie hebben geconfigureerd", zo verklaart de softwaregigant tegenover Securityfocus.
Bron: Techworld
