Revelouse información sobre vulnerabilidades da plataforma webOS aberta que se pode usar para acceder a API privilexiadas de baixo nivel do entorno do sistema dos televisores LG e outros dispositivos baseados nesta plataforma. O ataque lévase a cabo mediante o lanzamento dunha aplicación sen privilexios que explota vulnerabilidades mediante o acceso ás API internas e permite sobrescribir/ler ficheiros arbitrarios ou realizar outras accións permitidas polas API do sistema.
A primeira das vulnerabilidades identificadas permítelle ignorar as restricións de acceso á API do xestor de notificacións e a segunda permítelle utilizar o xestor de notificacións para acceder a outras API internas ás que non se accede directamente á aplicación do usuario. Os identificadores CVE aínda non foron asignados aos problemas. Probouse a capacidade de explotar vulnerabilidades nun televisor LG 65SM8500PLA con firmware baseado en webOS TV 05.10.30.
A esencia da primeira vulnerabilidade é que, por defecto, o envío de notificacións en webOS só está permitido aos servizos do sistema, pero esta restrición pódese eludir e pódese enviar unha notificación desde unha aplicación sen privilexios mediante o comando luna-send-pub (com.webos). .lunasendpub). A segunda vulnerabilidade está relacionada co feito de que ao chamar á API "luna://com.webos.notification/createAlert" cos parámetros onclick, onclose ou onfail, pode iniciar calquera controlador e, por exemplo, chamar ao sistema Xestor de descargas. servizo, que só se permite iniciar aplicacións privilexiadas para descargar e gardar ficheiros arbitrarios.
Fonte: opennet.ru