Des informations ont été divulguées sur les vulnérabilités de la plate-forme ouverte webOS qui peuvent être utilisées pour accéder aux API privilégiées de bas niveau de l'environnement système des téléviseurs LG et d'autres appareils basés sur cette plate-forme. L'attaque est menée via le lancement d'une application non privilégiée qui exploite les vulnérabilités via l'accès aux API internes et vous permet d'écraser/lire des fichiers arbitraires ou d'effectuer d'autres actions autorisées par les API du système.
La première des vulnérabilités identifiées vous permet de contourner les restrictions d'accès à l'API Notification Manager, et la seconde vous permet d'utiliser Notification Manager pour accéder à d'autres API internes qui ne sont pas directement accessibles à l'application utilisateur. Les identifiants CVE n’ont pas encore été attribués aux problèmes. La capacité à exploiter les vulnérabilités a été testée sur un téléviseur LG 65SM8500PLA avec un firmware basé sur webOS TV 05.10.30.
L'essence de la première vulnérabilité est que par défaut, l'envoi de notifications dans webOS n'est autorisé qu'aux services système, mais cette restriction peut être contournée et une notification peut être envoyée à partir d'une application non privilégiée à l'aide de la commande luna-send-pub (com.webos .lunasendpub). La deuxième vulnérabilité est liée au fait qu'en appelant l'API « luna://com.webos.notification/createAlert » avec les paramètres onclick, onclose ou onfail, vous pouvez lancer n'importe quel gestionnaire et, par exemple, appeler le système Download Manager. service, qui permet uniquement de lancer des applications privilégiées pour télécharger et enregistrer des fichiers arbitraires.
Source: opennet.ru