Inpormasi parantos diungkabkeun ngeunaan kerentanan dina platform webOS kabuka anu tiasa dianggo pikeun kéngingkeun aksés ka API tingkat rendah anu istimewa tina lingkungan sistem TV LG sareng alat sanés dumasar kana platform ieu. Serangan dilumangsungkeun ngaliwatan peluncuran hiji aplikasi unprivileged nu exploitasi vulnerabilities ngaliwatan aksés ka API internal, sarta ngidinan Anjeun pikeun nimpa / maca file sawenang atawa ngalakukeun tindakan séjén anu diwenangkeun ku API sistem.
Anu kahiji tina kerentanan anu diidentipikasi ngamungkinkeun anjeun ngaliwat larangan aksés ka API Pangatur Bewara, sareng anu kadua ngamungkinkeun anjeun ngagunakeun Pangatur Bewara pikeun ngaksés API internal sanés anu henteu tiasa diaksés langsung ku aplikasi pangguna. Identifier CVE henteu acan ditugaskeun pikeun masalah. Kamampuhan pikeun ngamangpaatkeun kerentanan diuji dina TV LG 65SM8500PLA kalayan firmware dumasar kana webOS TV 05.10.30.
Inti tina kerentanan munggaran nyaéta sacara standar, ngirim béwara dina webOS ngan ukur diidinan pikeun jasa sistem, tapi larangan ieu tiasa dileungitkeun sareng béwara tiasa dikirim tina aplikasi anu teu dipikabutuh nganggo paréntah luna-send-pub (com.webos. .lunasendpub). Kerentanan kadua aya hubunganana sareng kanyataan yén ku nyauran API "luna://com.webos.notification/createAlert" kalayan onclick, onclose atanapi onfail parameter, anjeun tiasa ngaluncurkeun panangan naon waé sareng, contona, nyauran sistem Download Manager. service, anu ngan ukur diidinan pikeun ngaluncurkeun aplikasi hak istimewa pikeun ngaunduh sareng nyimpen file sawenang-wenang.
sumber: opennet.ru