CVE-2021-38365
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 63 — wyżej niż 63% wszystkich znanych CVE
Streszczenie
Podatność w głośnikach biurkowych Winner (ToneWinner) do 9 sierpnia 2021 roku umożliwia zdalnym atakującym odzyskanie sygnałów mowy z diody LED wskaźnika zasilania za pomocą teleskopu i czujnika elektrooptycznego, co jest znane jako atak 'Glowworm'.
Ocena ryzyka
Ryzyko polega na możliwości podsłuchiwania rozmów w pomieszczeniu, w którym znajdują się podatne głośniki, bez konieczności fizycznego dostępu do urządzenia, co może prowadzić do wycieku poufnych informacji.
Rekomendacja
Zaleca się wymianę podatnych głośników na modele, które nie emitują światła z diody LED w sposób umożliwiający odzyskanie sygnałów mowy, lub zastosowanie fizycznych osłon na diodę LED.
Oryginalny opis (angielski, źródło NVD)
Winner (aka ToneWinner) desktop speakers through 2021-08-09 allow remote attackers to recover speech signals from the power-indicator LED via a telescope and an electro-optical sensor, aka a "Glowworm" attack.

