TV thông minh LG đang chứa lỗ hổng bảo mật cho phép truy cập root

www.tuoitre.vn -   08/04/2024 09:00:00 132

Nhiều lỗ hổng bảo mật đã được tiết lộ trong LG webOS chạy trên TV thông minh có thể bị khai thác để vượt qua ủy quyền và giành quyền truy cập root trên thiết bị.

TV thông minh LG đang chứa lỗ hổng bảo mật cho phép truy cập root

Các chuyên gia an ninh mạng đã phát hiện và báo cáo các lỗ hổng vào tháng 11 năm 2023. Các sự cố đã được LG khắc phục như một phần của bản cập nhật phát hành vào ngày 22 tháng 3 năm 2024.

Các lỗ hổng được theo dõi từ CVE-2023-6317 đến CVE-2023-6320 và ảnh hưởng đến các phiên bản webOS sau -

webOS 4.9.7 - 5.30.40 chạy trên LG43UM7000PLA

webOS 5.5.0 - 04.50.51 chạy trên OLED55CXPUA

webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 chạy trên OLED48C1PUB

webOS 7.3.1-43 (mullet-mebin) - 03.33.85 chạy trên OLED55A23LA

Một mô tả ngắn gọn về những lỗ hổng bảo mật như sau -

CVE-2023-6317 - Lỗ hổng cho phép kẻ tấn công bỏ qua xác minh mã PIN và thêm hồ sơ người dùng đặc quyền vào TV mà không yêu cầu sự tương tác của người dùng

CVE-2023-6318 - Lỗ hổng cho phép kẻ tấn công nâng cao đặc quyền và giành quyền truy cập root để chiếm quyền kiểm soát thiết bị

CVE-2023-6319 - Lỗ hổng cho phép chèn lệnh vào hệ điều hành bằng cách thao túng thư viện có tên asm chịu trách nhiệm hiển thị lời bài hát

CVE-2023-6320 - Lỗ hổng cho phép chèn các lệnh đã xác thực bằng cách thao tác điểm cuối API com.webos.service.connectionmanager/tv/setVlanStaticAddress

Việc khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công có được các quyền nâng cao đối với thiết bị, do đó, có thể kết nối với CVE-2023-6318 và CVE-2023-6319 để có quyền truy cập root hoặc với CVE-2023-6320 để chạy các lệnh tùy ý với tư cách là người dùng dbus.

Mặc dù dịch vụ dễ bị tấn công chỉ dành cho truy cập mạng LAN nhưng Shodan, công cụ tìm kiếm dành cho các thiết bị kết nối Internet, đã xác định hơn 91.000 thiết bị tiếp cận dịch vụ này với Internet. Phần lớn các thiết bị được đặt tại Hàn Quốc, Hồng Kông, Mỹ, Thụy Điển, Phần Lan và Latvia.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 23
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 32
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 29
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 24
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 17
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 26
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button