In een sector dat gewend is aan softwarekwetsbaarheden, dringende patches en remote exploits, blijft CVE-2022-38392 een zeldzaamheid die toch een belangrijke les bevat: soms ligt het probleem niet in de code zelf, maar in de interactie tussen de digitale wereld en de fysieke omgeving. In dit geval was de trigger niet een kwaadaardig pakket of een authenticatiefout, maar een audiogolf die verbonden was aan de videoclip Rhythm Nation (1989) van Janet Jackson.
Wat begon als een technologische anekdote, aangehaald door Microsoft, eindigde als een opname in de National Vulnerability Database (NVD) met een beschrijving die niet typisch is voor een conventionele CVE: “Sommige harde schijven met 5400 RPM (…) kunnen door dichtbije aanval met resonantiefrequenties van de audio uit de videoclip audio uitvallen, wat kan leiden tot een denial of service.” In operationele taal betekent dit dat een kwetsbaar apparaat dat dicht bij het geluid stond, kon falen en het systeem blokkeren.
Een CVE met “fysieke toegang” en een reëel impact op beschikbaarheid
De NVD-registratie classificeert CVE-2022-38392 als een denial of service (DoS)-kwetsbaarheid. De kern ligt in het attackvector: het vereist fysieke nabijheid, geen privileges, en qua complexiteit wordt het als relatief eenvoudig beschouwd zodra de trigger bekend is. Ook wordt er een opvallende score vermeld: een CVSS 3.1-score van 5,3 (Gemiddeld), met een hoge impact op beschikbaarheid.
Toch waarschuwt de NVD dat door het gebrek aan openbare informatie over specifieke producten geen duidelijke CPE-configuratie wordt toegekend. Het fenomeen en de impact worden wel erkend, maar er is geen volledige publieke inventarisatie van alle getroffen modellen. De beschrijving noemt een “gerapporteerd product” (Seagate STDT4000100, met bijbehorende identifier), maar er wordt geen uitgebreide lijst gepresenteerd.
Hoe werd het ontdekt? Windows XP-ondersteuning en een laboratorium dat niemand wilde opzetten
De bekendste vertelling kwam van Raymond Chen, ingenieur bij Microsoft, in The Old New Thing. Het verhaal speelt in de periode dat Windows XP nog ondersteund werd, toen een grote fabrikant ontdekte dat het afspelen van de videoclip Rhythm Nation bepaalde laptops kon doen vastlopen. Wat nog verbazingwekkender was, was dat tijdens het onderzoek bleek dat het probleem zich zelfs kon voordoen op andere nabijgelegen apparaten, inclusief modellen van concurrenten, simpelweg door blootstelling aan het audio-signaal.
Het mechanisme, uitgelegd met een begrijpelijke maar fysiek onderbouwde uitleg, wijst op resonantie: bepaalde frequenties in de audio sloten aan op de natuurlijke frequentie van interne componenten van sommige 5400 RPM harde schijven. Die extra vibratie was voldoende om lees-/schrijffouten te veroorzaken en het functioneren van de opslag te degraderen tot het punt waarop het besturingssysteem crashte. Het praktische resultaat was een “akoestische” DoS: geen datadiefstal, maar wel systeemuitval.
De mitigatie: een audiobuffer die een “vaste maatstaf” werd
Binnen de wereld van cybersecurity worden kwetsbaarheden vaak opgelost door firmware-updates, configuratie-aanpassingen of hardwarevervanging. Deze kwetsbaarheid werd op een zo verrassende maar logische wijze aangepakt: de fabrikant implementeerde een audifilter dat de problematische frequentie detecteerde en elimineerde tijdens afspelen.
Dat detail kreeg in 2025 een tweede leven, toen Chen het verhaal verder toelichtte: dat filter (technisch gezien een Audio Processing Object, APO) zou minstens tot aan Windows 7 aanwezig zijn gebleven. Microsoft stelde toen een regeling in waarbij gebruikers APO’s (audioverbeteringen) konden uitschakelen, maar de leverancier vroeg om een uitzondering, omdat het uitschakelen ervan mogelijk fysieke schade of andere resonantie-gerelateerde fouten kon veroorzaken. Volgens de geruchten stemde Microsoft hiermee in, waardoor het APO bleef functioneren, zelfs als gebruikers probeerden audioverbeteringen uit te zetten.
Dit onderdeel van het verhaal illustreert een actueel patroon: laag-niveau mitigaties die bescherming bieden tegen moeilijk te diagnosticeren problemen, blijven vaak jarenlang schuilen als onzichtbare lagen. Naarmate de tijd verstrijkt, worden ze “geërfde regels”: weinig begrepen, maar essentieel omdat het verwijderen ervan een onverwacht gevaar kan heropenen.
Is er vandaag nog een echte bedreiging? Bijna niet, maar de les is actueel
Voor de hedendaagse context is CVE-2022-38392 vooral een curiositeit dan een echte dreiging. De meeste moderne laptops gebruiken SSD’s, zonder draaiende schijven of leesarmen die resonantie kunnen veroorzaken. Bovendien past het beschreven type aanval (fysieke nabijheid + geraffineerde audio) niet in het dominante dreigingsbeeld van nu.
Maar het negeren ervan zou de kern missen: deze case toont aan dat de aanvalspopulatie niet alleen uit software bestaat. Er zijn kwetsbaarheden waarbij trillingen, temperatuur, geluid of omgevingsfactoren een rol spelen. Voor verouderde systemen — nog altijd in gebruik in sectoren met lange levenscycli — en in omgevingen waar hardware dicht op de limiet draait, is dit een sterke herinnering: veiligheid en veerkracht hangen ook af van fysica, materialen en ontwerpprincipes.
In een tijd waarin de industrie spreekt over technologische soevereiniteit, supply chain-risico’s en hardwaredreigingen, fungeert “de CVE van Janet Jackson” als een pakkende en onvergetelijke anekdote. Misschien juist daarom is het zo nuttig: het dwingt ons na te denken over dreigingen die niet via het internet komen, maar door de lucht.
Veelgestelde vragen
Wat is precies CVE-2022-38392?
Een door NVD gedocumenteerde DoS-kwetsbaarheid: bepaalde 5400 RPM harde schijven konden uitvallen en het systeem laten blokkeren door resonantie te triggeren via het audio-signaal uit de videoclip Rhythm Nation.
Waarom zegt de NVD dat de aanvaller “fysiek dichtbij” moet zijn?
Omdat het beschreven vector niet op afstand is: het geluid moet het doelapparaat beïnvloeden door nabijheid (dicht geluid), waardoor het aanvalsscenario afhangt van de fysieke omgeving.
Hoe is het probleem in de praktijk opgelost?
Volgens Microsoft door een filter in de audiokanalen (APO) dat de problematische frequentie tijdens het afspelen wegfilterde, en dat jaren actief bleef.
Kan iets gelijkaardigs gebeuren met modern hardware?
Het concrete geval gaat over mechanische schijven en bepaalde resonanties. Bij SSD’s is het risico veel kleiner, maar het principe herinnert eraan dat fysieke vectoren (trillingen, interferentie) systemen kunnen beïnvloeden.
via: Open Security