LG webOS-ում բացահայտվել են անվտանգության բազմաթիվ խոցելիություններ, որոնք օգտագործվում են authorization–երը շրջանցելու և սարքերի վրա արմատական հասանելիություն ձեռք բերելու համար:
Բացահայտումները գալիս են ռումինական կիբերանվտանգության՝ Bitdefender ընկերության կողմից, որը խոցելիության փաստը հայտնաբերել և հայտնել է 2023 թվականի նոյեմբերի դրությամբ։
CVE-2023-6317 և CVE-2023-6320 խոցելիություններն ազդում են webOS-ի հետևյալ տարբերակների վրա՝
webOS 4.9.7 – 5.30.40–ի վրա, որն աշխատում է LG43UM7000PLA-ով
webOS 5.5.0 – 04.50.51–ի վրա, որն աշխատում է OLED55CXPUA-ով
webOS 6.3.3-442 (kisscurl-kinglake)- 03.36.50–ի վրա, որն աշխատում է OLED48C1PUB-ով
webOS 7.3.1-43 (mullet-mebin) – 03.33.85–ի վրա, որն աշխատում է OLED55A23LA-ով
Խոցելիությունների ցանկը հետևյալն է՝
CVE-2023-6317 – Խոցելիություն, որը հաքերներին թույլ է տալիս շրջանցել PIN-ի ստուգումը։
CVE-2023-6318 – Խոցելիություն, որը հաքերներին թույլ է տալիս մեծացնել իրենց արտոնությունները և արմատային մուտք ստանալ ներքին համակարգեր՝ սարքը կառավարելու համար:
CVE-2023-6319 – Խոցելիություն, որը asm գրադարանի կիրառմամբ օպերացիոն համակարգում injection է կատարում։
CVE-2023-6320 – Խոցելիություն, որը շահարկելով com.webos.service.connectionmanager/tv/setVlanStaticAddress API-ի endpoint–ը թույլ է տալիս ներքին համակարգում վավերացված հրամաններ թողարկել։
Աղբյուրը՝ https://thehackernews.com/
