TV thông minh LG đang chứa lỗ hổng bảo mật cho phép truy cập root

www.tuoitre.vn -   08/04/2024 09:00:00 59

Nhiều lỗ hổng bảo mật đã được tiết lộ trong LG webOS chạy trên TV thông minh có thể bị khai thác để vượt qua ủy quyền và giành quyền truy cập root trên thiết bị.

TV thông minh LG đang chứa lỗ hổng bảo mật cho phép truy cập root

Các chuyên gia an ninh mạng đã phát hiện và báo cáo các lỗ hổng vào tháng 11 năm 2023. Các sự cố đã được LG khắc phục như một phần của bản cập nhật phát hành vào ngày 22 tháng 3 năm 2024.

Các lỗ hổng được theo dõi từ CVE-2023-6317 đến CVE-2023-6320 và ảnh hưởng đến các phiên bản webOS sau -

webOS 4.9.7 - 5.30.40 chạy trên LG43UM7000PLA

webOS 5.5.0 - 04.50.51 chạy trên OLED55CXPUA

webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 chạy trên OLED48C1PUB

webOS 7.3.1-43 (mullet-mebin) - 03.33.85 chạy trên OLED55A23LA

Một mô tả ngắn gọn về những lỗ hổng bảo mật như sau -

CVE-2023-6317 - Lỗ hổng cho phép kẻ tấn công bỏ qua xác minh mã PIN và thêm hồ sơ người dùng đặc quyền vào TV mà không yêu cầu sự tương tác của người dùng

CVE-2023-6318 - Lỗ hổng cho phép kẻ tấn công nâng cao đặc quyền và giành quyền truy cập root để chiếm quyền kiểm soát thiết bị

CVE-2023-6319 - Lỗ hổng cho phép chèn lệnh vào hệ điều hành bằng cách thao túng thư viện có tên asm chịu trách nhiệm hiển thị lời bài hát

CVE-2023-6320 - Lỗ hổng cho phép chèn các lệnh đã xác thực bằng cách thao tác điểm cuối API com.webos.service.connectionmanager/tv/setVlanStaticAddress

Việc khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công có được các quyền nâng cao đối với thiết bị, do đó, có thể kết nối với CVE-2023-6318 và CVE-2023-6319 để có quyền truy cập root hoặc với CVE-2023-6320 để chạy các lệnh tùy ý với tư cách là người dùng dbus.

Mặc dù dịch vụ dễ bị tấn công chỉ dành cho truy cập mạng LAN nhưng Shodan, công cụ tìm kiếm dành cho các thiết bị kết nối Internet, đã xác định hơn 91.000 thiết bị tiếp cận dịch vụ này với Internet. Phần lớn các thiết bị được đặt tại Hàn Quốc, Hồng Kông, Mỹ, Thụy Điển, Phần Lan và Latvia.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 516
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.107
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 982
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 91
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 917
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 103
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

LIÊN HỆ

Thông tin liên hệ