මෙම වේදිකාව මත පදනම් වූ LG TV සහ අනෙකුත් උපාංගවල පද්ධති පරිසරයේ වරප්රසාද ලත් පහත් මට්ටමේ API වෙත ප්රවේශය ලබා ගැනීමට භාවිතා කළ හැකි විවෘත webOS වේදිකාවේ ඇති දුර්වලතා පිළිබඳව තොරතුරු අනාවරණය කර ඇත. ප්රහාරය සිදු කරනු ලබන්නේ අභ්යන්තර API වෙත ප්රවේශ වීම හරහා අවදානම් සූරාකන වරප්රසාද ලත් යෙදුමක් දියත් කිරීම හරහා වන අතර, ඔබට අත්තනෝමතික ගොනු උඩින් ලිවීමට/කියවීමට හෝ පද්ධති API මඟින් අවසර දී ඇති වෙනත් ක්රියා සිදු කිරීමට ඉඩ සලසයි.
හඳුනාගත් දුර්වලතා වලින් පළමුවැන්න ඔබට Notification Manager API වෙත ප්රවේශ සීමාවන් මඟ හැරීමට ඉඩ සලසයි, දෙවැන්න ඔබට පරිශීලක යෙදුමට සෘජුවම ප්රවේශ විය නොහැකි වෙනත් අභ්යන්තර API වෙත ප්රවේශ වීමට දැනුම්දීම් කළමනාකරු භාවිතා කිරීමට ඉඩ සලසයි. ගැටළු සඳහා CVE හඳුනාගැනීම් තවම පවරා නොමැත. WebOS TV 65 මත පදනම් වූ ස්ථිරාංග සහිත LG 8500SM05.10.30PLA TV එකක් මත අවදානම් ප්රයෝජන ගැනීමේ හැකියාව පරීක්ෂා කරන ලදී.
පළමු අවදානමේ සාරය නම්, පෙරනිමියෙන්, webOS හි දැනුම්දීම් යැවීමට අවසර දී ඇත්තේ පද්ධති සේවා සඳහා පමණි, නමුත් මෙම සීමාව මඟ හැරිය හැකි අතර luna-send-pub විධානය (com.webos) භාවිතයෙන් වරප්රසාද රහිත යෙදුමකින් දැනුම්දීමක් යැවිය හැකිය. .lunasendpub). දෙවන අවදානම සම්බන්ධ වන්නේ onclick, onclose හෝ onfail පරාමිති සමඟ API "luna://com.webos.notification/createAlert" ඇමතීමෙන්, ඔබට ඕනෑම හසුරුවන්නෙකු දියත් කළ හැකි අතර, උදාහරණයක් ලෙස, බාගැනීම් කළමනාකරු පද්ධතිය අමතන්න. සේවාව, අත්තනෝමතික ගොනු බාගත කර සුරැකීමට පමණක් වරප්රසාදිත යෙදුම් දියත් කිරීමට අවසර ඇත.
මූලාශ්රය: opennet.ru