Sono state divulgate informazioni sulle vulnerabilità nella piattaforma webOS aperta che possono essere utilizzate per ottenere l'accesso alle API privilegiate di basso livello dell'ambiente di sistema dei televisori LG e di altri dispositivi basati su questa piattaforma. L'attacco viene effettuato attraverso il lancio di un'applicazione non privilegiata che sfrutta le vulnerabilità attraverso l'accesso alle API interne e consente di sovrascrivere/leggere file arbitrari o eseguire altre azioni consentite dalle API di sistema.
La prima delle vulnerabilità identificate consente di aggirare le restrizioni di accesso all'API di Notification Manager e la seconda consente di utilizzare Notification Manager per accedere ad altre API interne che non sono direttamente accessibili all'applicazione utente. Gli identificatori CVE non sono ancora stati assegnati ai problemi. La capacità di sfruttare le vulnerabilità è stata testata su una TV LG 65SM8500PLA con firmware basato su webOS TV 05.10.30.
L'essenza della prima vulnerabilità è che per impostazione predefinita l'invio di notifiche in webOS è consentito solo ai servizi di sistema, ma questa restrizione può essere aggirata e una notifica può essere inviata da un'applicazione non privilegiata utilizzando il comando luna-send-pub (com.webos .lunasendpub). La seconda vulnerabilità è legata al fatto che chiamando l'API “luna://com.webos.notification/createAlert” con i parametri onclick, onclose o onfail, è possibile avviare qualsiasi gestore e, ad esempio, chiamare il sistema Download Manager servizio, a cui è consentito avviare solo applicazioni privilegiate per scaricare e salvare file arbitrari.
Fonte: opennet.ru