影响 9.1 万台,LG 向智能电视推送 WebOS 更新以修复高危漏洞:可远程提权、注入攻击

业界
2024
04/10
14:13
IT之家
分享
评论

4 月 10 日消息,网络安全公司 Bitdefender 近日发布新闻稿,表示多个 WebOS 版本存在 4 个安全漏洞,影响超过 9 万台的 LG 智能电视。

专家表示黑客利用漏洞,可以提升权限以及注入命令,可以在未经用户授权的情况下远程访问和控制 LG 智能电视。

该漏洞主要利用了运行在 3000/3001 端口上的服务,该服务主要是让智能手机使用 PIN 连接访问。

Bitdefender 解释说,尽管存在漏洞的 LG WebOS 服务应该只在局域网(LAN)设置中使用,但 Shodan 互联网扫描显示有 91,000 台暴露的设备可能存在漏洞。

IT之家附上 4 个漏洞如下:

CVE-2023-6317 允许攻击者利用变量设置绕过电视机的授权机制,在未获得适当授权的情况下向电视机添加额外用户。

CVE-2023-6318 是一个权限提升漏洞,允许攻击者在 CVE-2023-6317 提供初始未授权访问后获得 root 访问权限。

CVE-2023-6319 涉及通过操纵负责显示歌词的库执行操作系统命令注入,允许执行任意命令。

CVE-2023-6320 允许利用 com.webos.service.connectionmanager/ tv / setVlanStaticAddress API 终端进行验证命令注入,从而以 dbus 用户身份执行命令,而 dbus 用户拥有与 root 用户类似的权限。

据悉影响以下 LG 智能电视:

LG43UM7000PLA,运行 webOS 4.9.7 - 5.30.40 版本;

OLED55CXPUA,运行 webOS 04.50.51 - 5.5.0

OLED48C1PUB,运行 webOS 0.36.50 - 6.3.3-442

OLED55A23LA,运行 webOS 03.33.85 - 7.3.1-43

Bitdefender 于 2023 年 11 月 1 日向 LG 报告了调查结果,LG 已经于 2024 年 3 月 22 日发布了相关的安全更新。受影响的用户应进入电视机的 "设置">"支持">"软件更新",选择 "检查更新" 来应用更新。

【来源:IT之家

THE END
广告、内容合作请点击这里 寻求合作
LG
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

3 月 29 日消息,据韩媒 hankooki 报道,三星显示目前面临苹果 11 英寸 iPad Pro 所用 OLED 屏面板良率不佳的问题,因此 LG 显示已于本月加入了这款面板的供应。
业界
3月12日消息,据媒体报道,LG新能源宣布正在与高通合作,为下一代电动汽车开发先进的电池管理系统(BMS)诊断解决方案。
业界
LG新能源(LG Energy Solution)于3月10日宣布与高通公司合作,将为下一代电动汽车开发先进的电池管理系统(BMS)诊断解决方案。
业界
LG 电子在本周五公布,其在美国得克萨斯州沃斯堡设立的首座电动汽车充电站组装工厂已经正式投入运营。
业界
11月28日消息,中国电视凭借超高的性价比,不仅在国内将日韩电视“扫地出门”,在韩国市场也是所向披靡。
业界

相关推荐

1
3