Razkrite so bile informacije o ranljivostih v odprti platformi webOS, s katero je mogoče pridobiti dostop do privilegiranih API-jev nizke ravni sistemskega okolja televizorjev LG in drugih naprav, ki temeljijo na tej platformi. Napad se izvede z zagonom neprivilegirane aplikacije, ki izkorišča ranljivosti prek dostopa do notranjih API-jev in vam omogoča prepisovanje/branje poljubnih datotek ali izvajanje drugih dejanj, ki jih dovoljujejo sistemski API-ji.
Prva od ugotovljenih ranljivosti vam omogoča, da obidete omejitve dostopa do API-ja Notification Manager, druga pa vam omogoča uporabo Notification Managerja za dostop do drugih notranjih API-jev, ki niso neposredno dostopni uporabniški aplikaciji. Identifikatorji CVE še niso bili dodeljeni težavam. Sposobnost izkoriščanja ranljivosti je bila preizkušena na televizorju LG 65SM8500PLA z vdelano programsko opremo, ki temelji na webOS TV 05.10.30.
Bistvo prve ranljivosti je v tem, da je pošiljanje obvestil v webOS privzeto dovoljeno samo sistemskim storitvam, vendar je to omejitev mogoče zaobiti in poslati obvestilo iz neprivilegirane aplikacije z ukazom luna-send-pub (com.webos .lunasendpub). Druga ranljivost je povezana z dejstvom, da lahko s klicem API-ja »luna://com.webos.notification/createAlert« s parametri onclick, onclose ali onfail zaženete kateri koli upravljalnik in na primer pokličete sistem Download Manager. storitev, ki je dovoljena samo za zagon privilegiranih aplikacij za prenos in shranjevanje poljubnih datotek.
Vir: opennet.ru