Bitdefender的网络安全研究人员在运行webOS版本4至7的LG电视中发现了严重漏洞。这些漏洞可能使攻击者能够完全控制电视、窃取数据或安装恶意软件。
Bitdefender在流行物联网设备安全研究中发现了这些漏洞。他们发现攻击者可以绕过身份验证机制并创建具有提升权限的新用户帐户。这将使他们能够完全控制电视,包括注入恶意代码、窃取数据或在智能家居网络中横向移动。
Bitdefender于2023年11月负责任地向LG披露了这些漏洞。LG于11月确认了这些漏洞,并于2024年3月发布了补丁。然而,Bitdefender直到今天,2024年4月9日才公开披露漏洞的详细信息,以提高用户的意识并鼓励他们更新电视。
以下LG电视型号受到这些漏洞的影响:
运行webOS 4.9.7 – 5.30.40的LG电视(例如LG43UM7000PLA)
运行webOS 5.5.0 – 04.50.51的LG电视(例如OLED55CXPUA)
运行webOS 7.3.1-43(mullet-mebin)的LG电视(例如OLED55A23LA)
运行webOS 6.3.3-442(kisscurl-kinglake)的LG电视(例如OLED48C1PUB .
第一个漏洞被标识为CVE-2023-6317,允许攻击者绕过授权机制,使他们能够通过操纵特定变量将用户添加到电视机。
在后续步骤中,攻击者可以利用另一个漏洞CVE-2023-6318将其访问权限升级为root,从而有效地获得对设备的完全控制。
此外,第三个漏洞CVE-2023-6319允许通过篡改负责显示音乐歌词的库来注入操作系统命令。最后,CVE-2023-6320漏洞使攻击者能够通过操纵API端点注入经过身份验证的命令。
Shodan是一个旨在发现配置错误和暴露的物联网(IoT)设备的搜索引擎,它揭示了受智能设备漏洞影响最严重的国家/地区。韩国以91938台暴露设备位居榜首,其次是香港和美国,分别位居第二和第三。
LG于2024年3月发布了补丁来解决这些漏洞。LG电视用户应尽快将电视更新到最新的软件版本。您通常可以在电视的设置菜单中检查更新。
评论已关闭。