🥇सुप्रा स्मार्ट टीवी में भेद्यता जो आपको काल्पनिक वीडियो प्रदर्शित करने की अनुमति देती है

सुप्रा स्मार्ट क्लाउड टीवी पर पहचान की भेद्यता (CVE-2019-12477) जो आपको वर्तमान में देखे गए प्रोग्राम को हमलावर की सामग्री से बदलने की अनुमति देती है। उदाहरण के तौर पर, किसी आपातकालीन स्थिति के बारे में एक काल्पनिक चेतावनी का आउटपुट प्रदर्शित किया जाता है।

किसी हमले के लिए, विशेष रूप से तैयार किया गया नेटवर्क अनुरोध भेजना पर्याप्त है जिसके लिए प्रमाणीकरण की आवश्यकता नहीं होती है। विशेष रूप से, आप वीडियो पैरामीटर के साथ m3u8 फ़ाइल का URL निर्दिष्ट करके "/remote/media_control?action=setUri&uri=" हैंडलर तक पहुंच सकते हैं, उदाहरण के लिए "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8।”

ज्यादातर मामलों में, टीवी के आईपी पते तक पहुंच आंतरिक नेटवर्क तक सीमित है, लेकिन चूंकि अनुरोध HTTP के माध्यम से भेजा जाता है, इसलिए जब उपयोगकर्ता विशेष रूप से डिज़ाइन किया गया बाहरी पृष्ठ खोलता है तो आंतरिक संसाधनों तक पहुंचने के तरीकों का उपयोग करना संभव है (उदाहरण के लिए, के अंतर्गत) किसी चित्र अनुरोध की आड़ में या इसका उपयोग करके डीएनएस रीबाइंडिंग).

स्रोत: opennet.ru

सुप्रा स्मार्ट टीवी में भेद्यता जो आपको काल्पनिक वीडियो प्रदर्शित करने की अनुमति देती है

एक टिप्पणी जोड़ें उत्तर रद्द