இந்த இயங்குதளத்தை அடிப்படையாகக் கொண்ட எல்ஜி டிவிகள் மற்றும் பிற சாதனங்களின் சிஸ்டம் சூழலின் சலுகை பெற்ற குறைந்த-நிலை ஏபிஐகளுக்கான அணுகலைப் பெற, திறந்த வெப்ஓஎஸ் இயங்குதளத்தில் உள்ள பாதிப்புகள் பற்றிய தகவல்கள் வெளியிடப்பட்டுள்ளன. உள் ஏபிஐகளை அணுகுவதன் மூலம் பாதிப்புகளைச் சுரண்டிக்கொள்ளும் சலுகையற்ற பயன்பாட்டின் மூலம் தாக்குதல் நடத்தப்படுகிறது, மேலும் தன்னிச்சையான கோப்புகளை மேலெழுத/படிக்க அல்லது சிஸ்டம் ஏபிஐகளால் அனுமதிக்கப்படும் பிற செயல்களைச் செய்ய உங்களை அனுமதிக்கிறது.
அடையாளம் காணப்பட்ட பாதிப்புகளில் முதலாவது, அறிவிப்பு மேலாளர் APIக்கான அணுகல் கட்டுப்பாடுகளைத் தவிர்க்க உங்களை அனுமதிக்கிறது, இரண்டாவது பயனர் பயன்பாட்டிற்கு நேரடியாக அணுக முடியாத பிற உள் APIகளை அணுக அறிவிப்பு மேலாளரைப் பயன்படுத்த அனுமதிக்கிறது. சிக்கல்களுக்கு CVE அடையாளங்காட்டிகள் இன்னும் ஒதுக்கப்படவில்லை. WebOS TV 65ஐ அடிப்படையாகக் கொண்ட ஃபார்ம்வேர் கொண்ட LG 8500SM05.10.30PLA டிவியில் பாதிப்புகளைச் சுரண்டும் திறன் சோதிக்கப்பட்டது.
முதல் பாதிப்பின் சாராம்சம் என்னவென்றால், முன்னிருப்பாக, webOS இல் அறிவிப்புகளை அனுப்புவது கணினி சேவைகளுக்கு மட்டுமே அனுமதிக்கப்படுகிறது, ஆனால் இந்த கட்டுப்பாட்டை மீறலாம் மற்றும் luna-send-pub கட்டளையை (com.webos) பயன்படுத்தி ஒரு சலுகையற்ற பயன்பாட்டிலிருந்து அறிவிப்பை அனுப்பலாம். .lunasendpub). இரண்டாவது பாதிப்பு, ஆன்க்ளிக், ஆன்க்ளோஸ் அல்லது ஆன்ஃபைல் அளவுருக்கள் மூலம் API ஐ “luna://com.webos.notification/createAlert” என்று அழைப்பதன் மூலம், நீங்கள் எந்த ஹேண்ட்லரையும் தொடங்கலாம், எடுத்துக்காட்டாக, பதிவிறக்க மேலாளர் அமைப்பை அழைக்கலாம். சேவை, தன்னிச்சையான கோப்புகளை பதிவிறக்கம் செய்து சேமிப்பதற்காக மட்டுமே சலுகை பெற்ற பயன்பாடுகளை தொடங்க அனுமதிக்கப்படுகிறது.
ஆதாரம்: opennet.ru