ಈ ಪ್ಲಾಟ್ಫಾರ್ಮ್ನ ಆಧಾರದ ಮೇಲೆ LG TV ಗಳು ಮತ್ತು ಇತರ ಸಾಧನಗಳ ಸಿಸ್ಟಮ್ ಪರಿಸರದ ಸವಲತ್ತು ಕಡಿಮೆ-ಮಟ್ಟದ API ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಬಳಸಬಹುದಾದ ತೆರೆದ webOS ಪ್ಲಾಟ್ಫಾರ್ಮ್ನಲ್ಲಿನ ದುರ್ಬಲತೆಗಳ ಕುರಿತು ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ. ಆಂತರಿಕ API ಗಳಿಗೆ ಪ್ರವೇಶದ ಮೂಲಕ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಸವಲತ್ತುಗಳಿಲ್ಲದ ಅಪ್ಲಿಕೇಶನ್ನ ಪ್ರಾರಂಭದ ಮೂಲಕ ದಾಳಿಯನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅನಿಯಂತ್ರಿತ ಫೈಲ್ಗಳನ್ನು ಓವರ್ರೈಟ್ ಮಾಡಲು/ಓದಲು ಅಥವಾ ಸಿಸ್ಟಮ್ API ಗಳಿಂದ ಅನುಮತಿಸಲಾದ ಇತರ ಕ್ರಿಯೆಗಳನ್ನು ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳಲ್ಲಿ ಮೊದಲನೆಯದು ಅಧಿಸೂಚನೆ ನಿರ್ವಾಹಕ API ಗೆ ಪ್ರವೇಶ ನಿರ್ಬಂಧಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ಎರಡನೆಯದು ಬಳಕೆದಾರರ ಅಪ್ಲಿಕೇಶನ್ಗೆ ನೇರವಾಗಿ ಪ್ರವೇಶಿಸಲಾಗದ ಇತರ ಆಂತರಿಕ API ಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ಅಧಿಸೂಚನೆ ನಿರ್ವಾಹಕವನ್ನು ಬಳಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಸಮಸ್ಯೆಗಳಿಗೆ CVE ಗುರುತಿಸುವಿಕೆಗಳನ್ನು ಇನ್ನೂ ನಿಯೋಜಿಸಲಾಗಿಲ್ಲ. ವೆಬ್ಓಎಸ್ ಟಿವಿ 65 ಆಧಾರಿತ ಫರ್ಮ್ವೇರ್ನೊಂದಿಗೆ LG 8500SM05.10.30PLA ಟಿವಿಯಲ್ಲಿ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಪರೀಕ್ಷಿಸಲಾಗಿದೆ.
ಮೊದಲ ದುರ್ಬಲತೆಯ ಮೂಲತತ್ವವೆಂದರೆ, ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ವೆಬ್ಓಎಸ್ನಲ್ಲಿ ಅಧಿಸೂಚನೆಗಳನ್ನು ಕಳುಹಿಸುವುದನ್ನು ಸಿಸ್ಟಮ್ ಸೇವೆಗಳಿಗೆ ಮಾತ್ರ ಅನುಮತಿಸಲಾಗುತ್ತದೆ, ಆದರೆ ಈ ನಿರ್ಬಂಧವನ್ನು ಬೈಪಾಸ್ ಮಾಡಬಹುದು ಮತ್ತು luna-send-pub ಆಜ್ಞೆಯನ್ನು (com.webos) ಬಳಸಿಕೊಂಡು ಅನಧಿಕೃತ ಅಪ್ಲಿಕೇಶನ್ನಿಂದ ಅಧಿಸೂಚನೆಯನ್ನು ಕಳುಹಿಸಬಹುದು. .lunasendpub). ಆನ್ಕ್ಲಿಕ್, ಆನ್ಕ್ಲೋಸ್ ಅಥವಾ ಆನ್ಫೇಲ್ ಪ್ಯಾರಾಮೀಟರ್ಗಳೊಂದಿಗೆ API ಅನ್ನು "luna://com.webos.notification/createAlert" ಎಂದು ಕರೆಯುವ ಮೂಲಕ, ನೀವು ಯಾವುದೇ ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು ಮತ್ತು ಉದಾಹರಣೆಗೆ, ಡೌನ್ಲೋಡ್ ಮ್ಯಾನೇಜರ್ ಸಿಸ್ಟಮ್ಗೆ ಕರೆ ಮಾಡಬಹುದು ಎಂಬ ಅಂಶಕ್ಕೆ ಎರಡನೇ ದುರ್ಬಲತೆ ಸಂಬಂಧಿಸಿದೆ. ಸೇವೆ, ಅನಿಯಂತ್ರಿತ ಫೈಲ್ಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ಉಳಿಸಲು ಸವಲತ್ತು ಪಡೆದ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಮಾತ್ರ ಅನುಮತಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru