Nochtadh faisnéis faoi leochaileachtaí san ardán webOS oscailte ar féidir a úsáid chun rochtain a fháil ar APIanna íseal-leibhéil pribhléideacha de thimpeallacht chórais teilifíseáin LG agus gléasanna eile atá bunaithe ar an ardán seo. Déantar an t-ionsaí trí fheidhmchlár neamhphribhléideach a sheoladh a bhaineann leas as leochaileachtaí trí rochtain ar APIanna inmheánacha, agus a ligeann duit comhaid treallacha a fhorscríobh/a léamh nó gníomhartha eile a dhéanamh a cheadaítear le APInna córais.
Ceadaíonn an chéad cheann de na leochaileachtaí aitheanta duit srianta rochtana a sheachbhóthar chuig API an Bhainisteora Fógra, agus ceadaíonn an dara ceann duit Bainisteoir Fógra a úsáid chun rochtain a fháil ar APIanna inmheánacha eile nach bhfuil rochtain dhíreach acu ar an bhfeidhmchlár úsáideora. Níl aitheantóirí CVE sannta do na saincheisteanna fós. Rinneadh tástáil ar an gcumas leas a bhaint as leochaileachtaí ar theilifís LG 65SM8500PLA le firmware bunaithe ar webOS TV 05.10.30.
Is é bunbhrí na chéad leochaileachta ná go gceadaítear, de réir réamhshocraithe, fógraí a sheoladh in webOS ach chuig seirbhísí córais, ach is féidir an srian seo a sheachaint agus is féidir fógra a sheoladh ó fheidhmchlár neamhphríobháideach ag baint úsáide as an ordú luna-send-pub (com.webos .lunasendpub). Baineann an dara leochaileacht leis an bhfíric, trí ghlaoch ar an API “luna://com.webos.notification/createAlert” leis na paraiméadair onclick, onclose nó onfail, is féidir leat aon láimhseálaí a sheoladh agus, mar shampla, glaoch ar an gcóras Bainisteoir Íoslódála seirbhíse, nach gceadaítear ach feidhmchláir phribhléideacha a sheoladh chun comhaid treallacha a íoslódáil agus a shábháil.
Foinse: oscailtenet.ru