Maelezo yamefichuliwa kuhusu udhaifu katika mfumo huria wa WebOS ambao unaweza kutumika kupata ufikiaji wa API za kiwango cha chini za mazingira ya mfumo wa LG TV na vifaa vingine kulingana na mfumo huu. Shambulio hilo hufanywa kupitia uzinduzi wa programu isiyo ya haki ambayo hutumia udhaifu kupitia ufikiaji wa API za ndani, na hukuruhusu kubatilisha/kusoma faili kiholela au kutekeleza vitendo vingine vinavyoruhusiwa na API za mfumo.
Ya kwanza ya udhaifu uliotambuliwa hukuruhusu kukwepa vizuizi vya ufikiaji kwa API ya Kidhibiti cha Arifa, na ya pili hukuruhusu kutumia Kidhibiti cha Arifa kufikia API zingine za ndani ambazo hazipatikani moja kwa moja na programu ya mtumiaji. Vitambulishi vya CVE bado havijakabidhiwa kwa masuala. Uwezo wa kutumia udhaifu ulijaribiwa kwenye LG 65SM8500PLA TV yenye programu dhibiti kulingana na webOS TV 05.10.30.
Kiini cha athari ya kwanza ni kwamba kwa chaguo-msingi, kutuma arifa katika webOS kunaruhusiwa tu kwa huduma za mfumo, lakini kizuizi hiki kinaweza kuepukika na arifa inaweza kutumwa kutoka kwa programu isiyo na upendeleo kwa kutumia amri ya luna-send-pub (com.webos). .lunasendpub). Athari ya pili inahusiana na ukweli kwamba kwa kuita API "luna://com.webos.notification/createAlert" kwa kubofya, kuzima au kutofaulu vigezo, unaweza kuzindua kidhibiti chochote na, kwa mfano, kupiga simu kwa mfumo wa Kidhibiti Upakuaji. service, ambayo inaruhusiwa tu kuzinduliwa maombi ya upendeleo kupakua na kuhifadhi faili kiholela.
Chanzo: opennet.ru