Уязвимости в webOS, позволяющие перезаписать файлы на телевизорах LG
Автор
Сообщение
news_bot ®
Стаж: 7 лет 2 месяца
Сообщений: 27286
Раскрыта информация об уязвимостях в открытой платформе webOS, которые могут применяться для получения доступа к привилегированным низкоуровневым API системного окружения телевизоров LG и других устройств на базе данной платформы. Атака совершается через запуск непривилегированного приложения, эксплуатирующего уязвимости через обращение ко внутренним API, и позволяет перезаписать/прочитать произвольные файлы или выполнить другие действия, которые допускают системные API.
Первая из выявленных уязвимостей позволяет обойти ограничения доступа к API Notification Manager, а вторая позволяет использовать Notification Manager для обращения к другим внутренним API, недоступным напрямую пользовательскому приложению. CVE-идентификаторы проблемам пока не присвоены. Возможность эксплуатации уязвимостей проверена на телевизоре LG 65SM8500PLA с прошивкой на базе webOS TV 05.10.30.
Суть первой уязвимости в том, что по умолчанию отправка уведомлений в webOS разрешена только системным сервисам, но данное ограничение можно обойти и отправить уведомление из непривилегированного приложения, воспользовавшись командой luna-send-pub (com.webos.lunasendpub). Вторая уявзимость связана с тем, что через обращение к API "luna://com.webos.notification/createAlert" с параметрами onclick, onclose или onfail можно запустить любой обработчик и, например, добиться вызова системного сервиса Download Manager, который разрешено запускать только привилегированным приложениям, для загрузки и сохранения произвольных файлов.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.recurity-labs.com...)
- OpenNews: Выпуск платформы webOS Open Source Edition 2.15
- OpenNews: Компания LG опубликовала операционную систему webOS Open Source Edition
- OpenNews: Обновление мобильной платформы LuneOS, продолжившей развитием webOS
- OpenNews: Компания LG представила телевизоры на базе webOS 2.0
- OpenNews: Компания LG выкупила мобильную платформу webOS у Hewlett-Packard и намерена использовать её в телевизорах
Похожие новости:
- Выпуск платформы webOS Open Source Edition 2.15
- Выпуск платформы webOS Open Source Edition 2.14
- [Программирование микроконтроллеров] Программирование ESP32 с использованием JTAG программатора ESP-Prog и ESP-IDF
- [Программирование, Алгоритмы] Найти подстроку в строке
- Компания LG опубликовала систему проверки соблюдения открытых лицензий
- [.NET, Алгоритмы, C#] Задача о рюкзаке (Knapsack problem) простыми словами
- [Бизнес-модели, Производство и разработка электроники, Смартфоны] LG прекратила выпуск смартфонов
- [Сетевые технологии, Исследования и прогнозы в IT] Отнимаем и делим — исследуем целостность Рунета
- [IT-инфраструктура, Исследования и прогнозы в IT, Веб-аналитика, Аналитика мобильных приложений] Извилистые дороги корейских ОС, или Как Tizen OS и webOS к успеху шли
- [Программирование, Алгоритмы, Go, Интервью] Algorithms in Go: Bit Operations
Теги для поиска: #_webos, #_lg
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 07-Май 02:18
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 2 месяца |
|
|
Раскрыта информация об уязвимостях в открытой платформе webOS, которые могут применяться для получения доступа к привилегированным низкоуровневым API системного окружения телевизоров LG и других устройств на базе данной платформы. Атака совершается через запуск непривилегированного приложения, эксплуатирующего уязвимости через обращение ко внутренним API, и позволяет перезаписать/прочитать произвольные файлы или выполнить другие действия, которые допускают системные API. Первая из выявленных уязвимостей позволяет обойти ограничения доступа к API Notification Manager, а вторая позволяет использовать Notification Manager для обращения к другим внутренним API, недоступным напрямую пользовательскому приложению. CVE-идентификаторы проблемам пока не присвоены. Возможность эксплуатации уязвимостей проверена на телевизоре LG 65SM8500PLA с прошивкой на базе webOS TV 05.10.30. Суть первой уязвимости в том, что по умолчанию отправка уведомлений в webOS разрешена только системным сервисам, но данное ограничение можно обойти и отправить уведомление из непривилегированного приложения, воспользовавшись командой luna-send-pub (com.webos.lunasendpub). Вторая уявзимость связана с тем, что через обращение к API "luna://com.webos.notification/createAlert" с параметрами onclick, onclose или onfail можно запустить любой обработчик и, например, добиться вызова системного сервиса Download Manager, который разрешено запускать только привилегированным приложениям, для загрузки и сохранения произвольных файлов. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 07-Май 02:18
Часовой пояс: UTC + 5