CVE-1999-1137
NiskiePrawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 — wyżej niż 32% wszystkich znanych CVE
Streszczenie
Uprawnienia do urządzenia /dev/audio w Solaris 2.2 i wcześniejszych wersjach oraz SunOS 4.1.x pozwalają każdemu lokalnemu użytkownikowi na odczyt z tego urządzenia. Może to być wykorzystane przez atakującego do monitorowania rozmów odbywających się w pobliżu maszyny z mikrofonem.
Ocena ryzyka
Organizacja może być narażona na naruszenie prywatności, ponieważ lokalni użytkownicy mogą podsłuchiwać rozmowy. To stwarza ryzyko wycieku poufnych informacji.
Rekomendacja
Zaleca się ograniczenie uprawnień do urządzenia /dev/audio tylko do zaufanych użytkowników oraz rozważenie aktualizacji systemu do nowszej wersji, która nie ma tej podatności.
Oryginalny opis (angielski, źródło NVD)
The permissions for the /dev/audio device on Solaris 2.2 and earlier, and SunOS 4.1.x, allow any local user to read from the device, which could be used by an attacker to monitor conversations happening near a machine that has a microphone.

