Das Sicherheitsunternehmen Fortinet hat ernstzunehmende Sicherheitslücken in Version 4.a von Microsoft Speech entdeckt. Laut Advisory weist die ActiveX-Komponente "xvoice.dll", die Microsoft Speech zur Interaktion mit dem Internet Explorer (Version 7 und älter) nutzt, zwei Pufferüberlauf-basierende Bugs auf. Sie sollen es Angreifern ermöglichen, beliebigen Code auf dem Opfersystem auszuführen und den Rechner dadurch in ihre Gewalt zu bringen. Nutzer der Spracherkennungssoftware sollten umgehend das entsprechende, seit gestern im Rahmen von Microsofts Patch-Tuesday verfügbare Update des Softwarekonzerns abrufen.

Experten zufolge konzentrieren sich Angreifer immer häufiger auf Schwachstellen in Client-seitiger Software statt auf Lücken in Servern. Laut Michael Sutton von SPI Dynamics zeigen allein die aktuellen Patches, dass es an der Zeit ist, den Fokus entsprechend auf die Absicherung Client-seitiger Applikationen zu verlagern. Dort gebe es eine wahre Fülle an Löchern, die ausgenutzt werden könnten. (kf)