据报道,网络安全厂商 Bitdefender近期发现LG多款智能电视,包括LG43UM7000PLA、OLED55CXPUA、OLED48C1PUB及OLED55A23LA等系列,均搭载的WebOS版本中的四个漏洞,可能导致黑客未经授权远程操控电视。
该漏洞利用了3000/3001端口上运行的服务,主要为智能手机提供PIN接入功能。Bitdefender指出,虽然这些漏洞应仅限局域网使用,但Shodan扫描显示,约有91000台潜在易受攻击的LG设备。
具体而言,这四个漏洞分别包括:
1. CVE-2023-6317可使攻击者在未经许可的情况下,借助变量设置绕过电视的授权机制,增加额外用户。
2. CVE-2023-6318是一种权限提升漏洞,能使攻击者在不需认证的情况下获取root用户权限。
3. CVE-2023-6319可通过篡改播放歌词程序来执行指令注入,让攻击者执行任意指令。
4. CVE-2023-6320则使用com.webos.service.connectionmanager/tv/setVlanStaticAddress API接口实现验证命令注入,使攻击者能以和root用户同等的权限执行命令。
目前,LG已于2023年11月1日收到Bitdefender的调查结果,并已在去年底开始修复,相关更新已于今年3月22日相继推送给消费者。建议消费者前往电视“设置”页“支持”处,选择“软件更新”进行检查更新。
全部0条评论
快来发表一下你的评论吧 !