اوپن ويب او ايس پليٽ فارم ۾ خطرن جي باري ۾ معلومات ظاهر ڪئي وئي آهي جيڪا LG TVs ۽ ٻين ڊوائيسز جي سسٽم ماحول جي امتيازي گهٽ-سطح APIs تائين رسائي حاصل ڪرڻ لاءِ استعمال ٿي سگهي ٿي هن پليٽ فارم تي ٻڌل. حملو هڪ غير استحقاق واري ايپليڪيشن جي لانچ ذريعي ڪيو ويو آهي جيڪو اندروني APIs تائين رسائي جي ذريعي ڪمزورين جو استحصال ڪري ٿو، ۽ توهان کي اجازت ڏئي ٿو اوور رائٽ ڪرڻ/پڙهڻ جي صوابديدي فائلن يا ٻيون ڪارناما انجام ڏيڻ جيڪي سسٽم APIs پاران اجازت ڏنل آهن.
سڃاڻپ ٿيل خطرن مان پهرين توهان کي اجازت ڏئي ٿي ته توهان نوٽيفڪيشن مئنيجر API تائين رسائي جي پابندين کي نظرانداز ڪري، ۽ ٻيو توهان کي اجازت ڏئي ٿو نوٽيفڪيشن مئنيجر کي استعمال ڪرڻ لاءِ ٻين اندروني APIs تائين رسائي ڪرڻ لاءِ جيڪي سڌو سنئون صارف ايپليڪيشن تائين رسائي لائق نه آهن. CVE سڃاڻپ ڪندڙ اڃا تائين مسئلن جي حوالي نه ڪيا ويا آهن. ڪمزورين کي استحصال ڪرڻ جي صلاحيت هڪ LG 65SM8500PLA ٽي وي تي آزمائي وئي آهي firmware سان webOS TV 05.10.30 تي ٻڌل آهي.
پهرين خطري جو خلاصو اهو آهي ته ڊفالٽ طور تي، ويب او ايس ۾ اطلاع موڪلڻ جي اجازت صرف سسٽم سروسز ڏانهن آهي، پر هن پابندي کي نظرانداز ڪري سگهجي ٿو ۽ هڪ نوٽيفڪيشن موڪلي سگهجي ٿو غير مراعات يافته ايپليڪيشن مان luna-send-pub ڪمانڊ (com.webos. .lunasendpub). ٻيو نقصان ان حقيقت سان لاڳاپيل آهي ته API کي ڪال ڪرڻ سان “luna://com.webos.notification/createAlert” onclick، onclose يا onfail parameters سان، توهان ڪنهن به هينڊلر کي لانچ ڪري سگهو ٿا ۽ مثال طور، ڊائون لوڊ مئنيجر سسٽم کي ڪال ڪريو. خدمت، جنهن کي صرف اجازت ڏني وئي آهي شروع ڪرڻ جي اجازت ڏنل ايپليڪيشن ايپليڪيشنن کي ڊائون لوڊ ڪرڻ ۽ محفوظ ڪرڻ لاءِ صوابديدي فائلن کي.
جو ذريعو: opennet.ru