Er is informatie vrijgegeven over kwetsbaarheden in het open webOS-platform die kunnen worden gebruikt om toegang te krijgen tot bevoorrechte low-level API’s van de systeemomgeving van LG TV’s en andere apparaten die op dit platform zijn gebaseerd. De aanval wordt uitgevoerd door de lancering van een applicatie zonder privileges die kwetsbaarheden misbruikt via toegang tot interne API's, en u in staat stelt willekeurige bestanden te overschrijven/lezen of andere acties uit te voeren die zijn toegestaan door systeem-API's.
Met de eerste van de geïdentificeerde kwetsbaarheden kunt u toegangsbeperkingen tot de Notification Manager API omzeilen, en met de tweede kunt u Notification Manager gebruiken om toegang te krijgen tot andere interne API's die niet rechtstreeks toegankelijk zijn voor de gebruikersapplicatie. Er zijn nog geen CVE-identificatoren aan de problemen toegewezen. De mogelijkheid om kwetsbaarheden te misbruiken werd getest op een LG 65SM8500PLA TV met firmware gebaseerd op webOS TV 05.10.30.
De essentie van de eerste kwetsbaarheid is dat het verzenden van meldingen in webOS standaard alleen naar systeemdiensten is toegestaan, maar deze beperking kan worden omzeild en een melding kan worden verzonden vanuit een applicatie zonder privileges met behulp van de opdracht luna-send-pub (com.webos .lunasendpub). De tweede kwetsbaarheid houdt verband met het feit dat door de API “luna://com.webos.notification/createAlert” aan te roepen met de parameters onclick, onclose of onfail, u elke handler kunt starten en bijvoorbeeld het Download Manager-systeem kunt oproepen service, waarmee alleen bevoorrechte applicaties mogen worden gestart om willekeurige bestanden te downloaden en op te slaan.
Bron: opennet.ru