WebOS 漏洞导致超过 9 万 LG Smart TV 用户受攻击威胁

Bitdefender 的安全研究人员近日发现了多个版本的 LG Smart TV操作系统 WebOS 存在四个漏洞。这些漏洞允许未经授权的访问和控制受影响的型号,包括授权绕过、提升权限和命令注入。

漏洞利用方式

这些潜在的攻击依赖於通过运行在 3000/3001 端口上的服务,在设备上创建任意账户的能力,该服务用於智能手机连接,通过 PIN 实现。虽然这个存在漏洞的 LG WebOS 服务应仅在局域网(LAN)设置中使用,但 Shodan 互联网扫描显示有 91,000 台暴露的设备可能容易受到这些漏洞的影响。

具体漏洞细节

  • CVE-2023-6317 允许攻击者通过利用变量设置绕过电视的授权机制,无需适当授权即可向电视机添加额外用户。
  • CVE-2023-6318 是一个提升权限的漏洞,允许攻击者在通过 CVE-2023-6317 提供的初始未授权访问後获取 root 访问权限。
  • CVE-2023-6319 涉及通过操作用於显示音乐歌词的库的操纵进行操作系统命令注入,允许执行任意命令。
  • CVE-2023-6320 允许通过利用 com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点进行身份验证的命令注入,启用作为 dbus 用户执行命令,该用户具有与 root 用户类似的权限。

这些漏洞影响了多个 WebOS 版本和 LG 智慧电视型号。Bitdefender 於 2023 年 11 月 1 日向 LG 报告了其发现,但直到 2024 年 3 月 22 日,LG 才发布了相关的安全更新。

更新可修正问题

虽然 LG 电视会在有重要 WebOS 更新可用时提醒用户,但这些更新可以无限期地延後。因此,受影响的用户应该通过进入电视的「设定 > 支援 > 软体更新」并选择「检查更新」来应用更新。可以从相同菜单启用自动应用 WebOS 更新。

漏洞的严重性

尽管电视在安全方面不如其他装置关键,但远程命令执行的严重性在本例中仍然可能相当重大,因为它可以让攻击者达到其他更敏感的同网络连接装置。此外,智慧电视经常使用需要账户的应用程序,如串流服务,攻击者可能盗取这些账户以控制它们。最後,易受攻击的电视可以被恶意 Bot 感染,将它们列入分散式拒绝服务(DDoS)攻击或用於加密货币挖矿。

astrill资安保护

相关推荐

热门文章

苹果悄悄重新发布 iOS 17.4.1 修正版更新

上周,苹果向 iPhone 和 iPad 用户发布了 iOS 17.4.1 和 iPadOS 17.4.1。虽然这些更新并未新增任何新功能,但它们带来了两项重要的安全修正。不过,出於某些未知原因,苹果现已悄然发布了 iOS 17.4.1 的修正版。这次的新修定版编号为 21E237,而先前公开发布的版本编号为...

Sony 永久终止《星鸣特攻》项目并关闭工作室

Sony PlayStation 工作室事业部执行长 Hermen Hulst 向员工表示,公司将关闭《Concord 星鸣特攻》开发团队 Firewalk Studios 及手机游戏工作室 Neon Koi。Hulst 坦言在过去数月已详细评估所有选项,最终决定永久终止《星鸣特攻》项目并关闭工作室。重点文章【Black Friday...

全线 iPhone 16 也会用 A18 晶片?苹果或再统一处理器!

据称 iOS 18 的代码泄露,Apple 可能会在 iPhone 16 系列改变其最新的处理器策略。此前,非 Pro 版本的 iPhone 使用了一年前的处理器:iPhone 15 采用了...

《X》iOS 版现已支援通行金钥功能

知名社群平台《X》,自即日起开放全球范围内的 iOS 版使用者透过通行金钥来存取帐户——即透过 Face ID 或 Touch ID 登入,此方法不仅更快速便捷,也能够提供一定的安全性。要想在《X》内启用通行金钥功能,使用者可以在应用程式内的左上角点选个人图示开启选单,接着依序点选「设定与支援」→「设定和隐私」→「安全性和帐户存取」→「安全性」,即可在「额外密码保护」的栏位中找到「通行金钥」的开关设定。相关文章马斯克批评巨企停广告:「如果 X 平台倒闭!将是你们的错!」Twitter for iOS App...

可程式化移相器问世 光子晶片设计弹性大增(1)

光子元件是传输大量资讯的理想选择,但开发光子整合晶片的流程缓慢且昂贵,阻碍其拓展应用。如果光子晶片能具有可重复...

VideoProc Converter AI 将你的影片品质推向前所未有的高度

VideoProc Converter 重磅升级至 V6.0 ,新增「超解析度」、「插入影格」、「影片稳定」 三大 AI 影片增强 & 修复功能 。软体更名为 VideoProc Converter AI...

热门分类

Comments

0 0 投票数
Article Rating
订阅评论
提醒
guest
0 Comments
最旧
最新 最多投票
内联反馈
查看所有评论
0
希望看到您的想法,请您发表评论x