В смарт-телевизорах lg с webos обна..

В смарт-телевизорах lg с webos обнаружились уязвимости, позволяющие перезаписывать файлы

Специализирующаяся на кибербезопасности немецкая компания Recurity Labs опубликовала информацию по двум уязвимостям платформы webOS, на которой работают смарт-телевизоры LG. Используя эти бреши, злоумышленник может получить возможность скачивать, читать и перезаписывать произвольные файлы на устройстве.

Источник изображения: lg.com

Первая уязвимость затрагивает компонент уведомлений Notification Manager. По умолчанию отправка уведомлений в webOS ограничена только системными службами, в то время как сторонние непривилегированные приложения не имеют доступа к данной функции. Однако это ограничение обходится вызовом команды luna-send-pub (com.webos.lunasendpub), которая позволяет работать с уведомлениями произвольному стороннему ПО.

Вторая уязвимость дополняет первую: через обращение к API luna://com.webos.notification/createAlert с использованием параметров onclick, onclose или onfail появляется возможность запускать любой обработчик, в том числе вызывать системную службу Download Manager, привилегии которой достаточно высоки, чтобы загружать и сохранять произвольные файлы. В теории это открывает злоумышленнику неограниченный доступ к системе.

Специалисты Recurity Labs подтвердили возможность эксплуатации уязвимостей на телевизоре модели LG 65SM8500PLA под управлением webOS TV 05.10.30. Подразделение LG Product Security было официально уведомлено о наличии брешей ещё 11 ноября 2021 года, однако никакой ответной реакции не последовало. Уязвимости не были официально зарегистрированы, и меры для их закрытия предприняты не были. Поэтому немецкая компания выждала стандартные 90 дней, которые истекли 10 февраля 2022 года, и предала огласке информацию о своём открытии 2 марта.

Видео

Программное обеспечение

rossiiskim-smi-zapretili-pokazyvat-logotipy-meta-facebook-i-instagram_1.jpg

Российским сми запретили показывать логотипы ...

  • Мар 22, 2022
  • 561

Российским средствам массовой информации запретили демонстрировать логотипы компании Meta Platforms*, а также принадлежащих ей социальных сетей Facebo...

Цифровое фото и видео

proizvoditel-videokamer-i-kopirovalnoi-tekhniki-ricoh-priostanovil-postavki-v-rossiiu_1.jpg

Производитель видеокамер и копировальной техн...

  • Мар 14, 2022
  • 223

Японский производитель копировальной и лазерной техники, фотоаппаратов и видеокамер Ricoh объявил о приостановке отгрузки своей продукции в Россию.Ист...

Это интересно

Наверх