सुप्रा स्मार्ट टीव्ही मधील भेद्यता जी तुम्हाला काल्पनिक व्हिडिओ प्रदर्शित करण्यास अनुमती देते

सुप्रा स्मार्ट क्लाउड टीव्हीवर ओळखले भेद्यता (CVE-2019-12477) जी तुम्हाला सध्या पाहिलेला प्रोग्राम हल्लेखोराच्या सामग्रीसह बदलण्याची परवानगी देते. उदाहरण म्हणून, आणीबाणीच्या परिस्थितीबद्दल काल्पनिक चेतावणीचे आउटपुट प्रदर्शित केले आहे.

आक्रमणासाठी, विशेष तयार केलेली नेटवर्क विनंती पाठवणे पुरेसे आहे ज्यास प्रमाणीकरण आवश्यक नाही. विशेषतः, व्हिडिओ पॅरामीटर्ससह m3u8 फाइलची URL निर्दिष्ट करून तुम्ही “/remote/media_control?action=setUri&uri=” हँडलरमध्ये प्रवेश करू शकता, उदाहरणार्थ “http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”

बहुतेक प्रकरणांमध्ये, टीव्हीच्या IP पत्त्यावर प्रवेश करणे अंतर्गत नेटवर्कपर्यंत मर्यादित असते, परंतु विनंती HTTP द्वारे पाठविली जात असल्याने, जेव्हा वापरकर्ता विशेषतः डिझाइन केलेले बाह्य पृष्ठ उघडतो तेव्हा अंतर्गत संसाधनांमध्ये प्रवेश करण्यासाठी पद्धती वापरणे शक्य आहे (उदाहरणार्थ, अंतर्गत चित्र विनंतीचा वेष किंवा वापरणे DNS रीबाइंडिंग).

स्त्रोत: opennet.ru