設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

影響 9.1 萬臺(tái),LG 向智能電視推送 WebOS 更新以修復(fù)高危漏洞:可遠(yuǎn)程提權(quán)、注入攻擊

2024/4/10 11:19:22 來源:IT之家 作者:故淵 責(zé)編:故淵

IT之家 4 月 10 日消息,網(wǎng)絡(luò)安全公司 Bitdefender 近日發(fā)布新聞稿,表示多個(gè) WebOS 版本存在 4 個(gè)安全漏洞,影響超過 9 萬臺(tái)的 LG 智能電視。

專家表示黑客利用漏洞,可以提升權(quán)限以及注入命令,可以在未經(jīng)用戶授權(quán)的情況下遠(yuǎn)程訪問和控制 LG 智能電視。

該漏洞主要利用了運(yùn)行在 3000/3001 端口上的服務(wù),該服務(wù)主要是讓智能手機(jī)使用 PIN 連接訪問。

Bitdefender 解釋說,盡管存在漏洞的 LG WebOS 服務(wù)應(yīng)該只在局域網(wǎng)(LAN)設(shè)置中使用,但 Shodan 互聯(lián)網(wǎng)掃描顯示有 91,000 臺(tái)暴露的設(shè)備可能存在漏洞。

IT之家附上 4 個(gè)漏洞如下:

  • CVE-2023-6317 允許攻擊者利用變量設(shè)置繞過電視機(jī)的授權(quán)機(jī)制,在未獲得適當(dāng)授權(quán)的情況下向電視機(jī)添加額外用戶。

  • CVE-2023-6318 是一個(gè)權(quán)限提升漏洞,允許攻擊者在 CVE-2023-6317 提供初始未授權(quán)訪問后獲得 root 訪問權(quán)限。

  • CVE-2023-6319 涉及通過操縱負(fù)責(zé)顯示歌詞的庫執(zhí)行操作系統(tǒng)命令注入,允許執(zhí)行任意命令。

  • CVE-2023-6320 允許利用 com.webos.service.connectionmanager/ tv / setVlanStaticAddress API 終端進(jìn)行驗(yàn)證命令注入,從而以 dbus 用戶身份執(zhí)行命令,而 dbus 用戶擁有與 root 用戶類似的權(quán)限。

據(jù)悉影響以下 LG 智能電視:

  • LG43UM7000PLA,運(yùn)行 webOS 4.9.7 - 5.30.40 版本;

  • OLED55CXPUA,運(yùn)行 webOS 04.50.51 - 5.5.0

  • OLED48C1PUB,運(yùn)行 webOS 0.36.50 - 6.3.3-442

  • OLED55A23LA,運(yùn)行 webOS 03.33.85 - 7.3.1-43

Bitdefender 于 2023 年 11 月 1 日向 LG 報(bào)告了調(diào)查結(jié)果,LG 已經(jīng)于 2024 年 3 月 22 日發(fā)布了相關(guān)的安全更新。受影響的用戶應(yīng)進(jìn)入電視機(jī)的 "設(shè)置">"支持">"軟件更新",選擇 "檢查更新" 來應(yīng)用更新。

廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:LG,漏洞,電視

軟媒旗下網(wǎng)站: IT之家 最會(huì)買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會(huì)買 要知