Açıq webOS platformasında LG televizorlarının və bu platformaya əsaslanan digər cihazların sistem mühitinin imtiyazlı aşağı səviyyəli API-lərinə daxil olmaq üçün istifadə edilə bilən boşluqlar haqqında məlumat açıqlanıb. Hücum daxili API-lərə giriş vasitəsilə zəifliklərdən istifadə edən və ixtiyari faylların üzərinə yazmağa/oxumağa və ya sistem API-lərinin icazə verdiyi digər hərəkətləri yerinə yetirməyə imkan verən imtiyazsız tətbiqin işə salınması vasitəsilə həyata keçirilir.
Müəyyən edilmiş zəifliklərdən birincisi Notification Manager API-yə giriş məhdudiyyətlərindən yan keçməyə, ikincisi isə istifadəçi tətbiqi üçün birbaşa əlçatan olmayan digər daxili API-lərə daxil olmaq üçün Notification Manager-dən istifadə etməyə imkan verir. Problemlərə CVE identifikatorları hələ təyin edilməyib. Zəifliklərdən istifadə etmək imkanı webOS TV 65 əsasında mikroproqramlı LG 8500SM05.10.30PLA televizorunda sınaqdan keçirilib.
Birinci zəifliyin mahiyyəti ondan ibarətdir ki, defolt olaraq webOS-da bildirişlərin göndərilməsinə yalnız sistem xidmətlərinə icazə verilir, lakin bu məhdudiyyəti aşmaq və luna-send-pub əmrindən (com.webos) istifadə edərək imtiyazsız proqramdan bildiriş göndərmək olar. .lunasendpub). İkinci zəiflik onunla əlaqədardır ki, API-yə “luna://com.webos.notification/createAlert” onclick, onclose və ya onfail parametrləri ilə zəng etməklə istənilən işləyicini işə sala və məsələn, Download Manager sisteminə zəng edə bilərsiniz. xidməti, yalnız ixtiyari faylları yükləmək və saxlamaq üçün imtiyazlı tətbiqlərin işə salınmasına icazə verilir.
Mənbə: opennet.ru