Hàng chục ngàn tivi thông minh LG có nguy cơ bị tấn công từ xa từ lỗ hổng trong WebOS

www.tuoitre.vn -   03/04/2024 12:00:00 137

Bốn lỗ hổng trong hệ điều hành WebOS chạy trên smart TV của LG đã được phát hiện bởi các nhà nghiên cứu bảo mật. Khi khai thác các lỗ hổng này, tin tặc có thể truy cập và kiểm soát trái phép ở các mức độ khác nhau trên TV bị ảnh hưởng.

Hàng chục ngàn tivi thông minh LG có nguy cơ bị tấn công từ xa từ lỗ hổng trong WebOS

Hacker có thể khai thác các lỗ hổng này và sử dụng dịch vụ chạy trên cổng 3000/3001, hiện được dùng để kết nối điện thoại thông minh bằng mã PIN, để tạo tài khoản tùy ý trên thiết bị.

Bốn lỗ hổng trên smart TV của LG được nhóm nghiên cứu đưa ra gồm:

CVE-2023-6317: Cho phép kẻ tấn công bỏ qua cơ chế phân quyền của TV và thêm người dùng mà không cần đến sự đồng ý của người dùng.

CVE-2023-6318: Giúp tin tặc giành quyền truy cập root sau khi thực hiện CVE-2023-6317.

CVE-2023-6319: Chèn lệnh vào hệ điều hành và thực thi lệnh tùy ý.

CVE-2023-6320: Khai thác API để thực thi lệnh với tư cách là người dùng dbus, một quyền tương tự root.

Hàng chục ngàn tivi thông minh LG có nguy cơ bị tấn công từ xa từ lỗ hổng trong WebOS

Theo các chuyên gia bảo mật, có khoảng 91.000 thiết bị LG dính lỗ hổng. Các phiên bản bị ảnh hưởng gồm:

-WebOS 4.9.7 - 5.30.40 chạy trên dòng TV 43UM7000PLA

-WebOS 04.50.51 - 5.5.0 trên TV OLED55CXPUA.

-WebOS 0.36.50 - 6.3.3-442 trên OLED48C1PUB.

-WebOS 03.33.85 - 7.3.1-43 trên OLED48C1PUB, OLED55A23LA.

Công ty bảo mật phát hiện lỗ hỗng cũng cho biết đã báo cho LG sau khi phát hiện lỗ hổng cuối năm ngoái. Tuy vậy, phải đến cuối tháng 3, LG mới ra bản cập nhật đầu tiên để khắc phục. Người dùng có thể vào Cài đặt > Hỗ trợ > Cập nhật phần mềm > Kiểm tra cập nhật.

LG hiện chưa đưa ra bình luận nào.

Theo Bleeping Computer, kẻ xấu có thể lợi dụng vấn đề bảo mật trên TV làm điểm tấn công thiết bị khác kết nối cùng một mạng, đánh cắp những tài khoản trực tuyến, và làm botnet (mạng máy tính ma) cho phương thức tấn công từ chối dịch vụ DDoS hoặc bị âm thầm cài đặt phần mềm đào tiền số.

 

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 48
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 50
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 48
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...

Kaspersky phát hiện biến thể Lite mới củ...

29/10/2024 08:00:00 46
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kas...

Trình duyệt Opera sửa lỗ hổng bảo mật lớ...

28/10/2024 08:00:00 33
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc...

Apple mở mã nguồn PCC cho các nhà nghiên...

24/10/2024 12:00:00 33
Apple đã công khai cung cấp Môi trường nghiên cứu ảo (VRE) Private Cloud Compute (PCC), cho phép cộn...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button