اوپن ویب او ایس پلیٹ فارم میں موجود کمزوریوں کے بارے میں معلومات کا انکشاف کیا گیا ہے جو اس پلیٹ فارم پر مبنی LG TVs اور دیگر آلات کے سسٹم ماحول کے مراعات یافتہ نچلے درجے کے APIs تک رسائی حاصل کرنے کے لیے استعمال کی جا سکتی ہیں۔ یہ حملہ ایک غیر مراعات یافتہ ایپلی کیشن کے آغاز کے ذریعے کیا گیا ہے جو اندرونی APIs تک رسائی کے ذریعے کمزوریوں کا فائدہ اٹھاتا ہے، اور آپ کو صوابدیدی فائلوں کو اوور رائٹ/پڑھنے یا سسٹم APIs کے ذریعہ اجازت یافتہ دیگر اعمال انجام دینے کی اجازت دیتا ہے۔
شناخت شدہ کمزوریوں میں سے پہلی آپ کو نوٹیفیکیشن مینیجر API تک رسائی کی پابندیوں کو نظرانداز کرنے کی اجازت دیتی ہے، اور دوسری آپ کو نوٹیفیکیشن مینیجر کو دوسرے اندرونی APIs تک رسائی کے لیے استعمال کرنے کی اجازت دیتی ہے جو صارف کی ایپلیکیشن کے لیے براہ راست قابل رسائی نہیں ہیں۔ CVE شناخت کنندگان کو ابھی تک مسائل کے لیے تفویض نہیں کیا گیا ہے۔ کمزوریوں سے فائدہ اٹھانے کی صلاحیت کا تجربہ LG 65SM8500PLA TV پر webOS TV 05.10.30 پر مبنی فرم ویئر کے ساتھ کیا گیا۔
پہلی کمزوری کا خلاصہ یہ ہے کہ پہلے سے طے شدہ طور پر، ویب او ایس میں اطلاعات بھیجنے کی اجازت صرف سسٹم سروسز کو دی جاتی ہے، لیکن اس پابندی کو نظرانداز کیا جا سکتا ہے اور luna-send-pub کمانڈ (com.webos) کا استعمال کرتے ہوئے غیر مراعات یافتہ ایپلی کیشن سے اطلاع بھیجی جا سکتی ہے۔ .lunasendpub)۔ دوسری کمزوری اس حقیقت سے متعلق ہے کہ API "luna://com.webos.notification/createAlert" کو آنکلک، آنکلوز یا آن فیل پیرامیٹرز کے ساتھ کال کرکے، آپ کسی بھی ہینڈلر کو لانچ کرسکتے ہیں اور مثال کے طور پر ڈاؤن لوڈ مینیجر سسٹم کو کال کرسکتے ہیں۔ سروس، جسے صرف صوابدیدی فائلوں کو ڈاؤن لوڈ اور محفوظ کرنے کے لیے مراعات یافتہ ایپلی کیشنز شروع کرنے کی اجازت ہے۔
ماخذ: opennet.ru