LG 最近為其搭載 WebOS 作業系統的智慧電視發布了修補程式
LG 最近為其搭載 WebOS 作業系統的智慧電視發布了修補程式。資安公司 Bitdefender 發現並通報了這些漏洞。這些漏洞可能使攻擊者能夠在電視上擅自添加額外的使用者,並且可能被串聯利用,使得攻擊者能夠遠端執行任意命令。
Bitdefender 在對 LG 智慧電視的安全性進行調查時發現,搭載 WebOS 作業系統的電視存在四個漏洞。這些漏洞影響了執行 4.9.7 至 7.3.1 等多個版本的 WebOS,共有 91,938 台可通過互聯網訪問的電視存在風險。
研究人員指出,這些漏洞可能被串聯利用。第一個漏洞是 CVE-2023-6317,允許攻擊者繞過 WebOS 的授權機制,在電視上添加額外的使用者;第二個 CVE-2023-6318 是權限提升漏洞,攻擊者可通過此漏洞取得 root 權限,完全接管裝置;另外兩個漏洞 CVE-2023-6319 和 CVE-2023-6320 是命令注入漏洞,分別涉及顯示歌詞的程式庫和特定的 API 端點。
危急等級的漏洞 LG已正式發佈如何重新整理
值得注意的是,上述漏洞幾乎都是危急等級,CVSS 風險評分達到 9.1,僅有 CVE-2023-6317 為高風險等級,CVSS 風險評分為 7.2。研究人員於去年 11 月通報了這些漏洞,LG 則在今年 3 月 22 日發布了修補程式。
Bitdefender 必特防毒資安網路安全專家識別了以下作業系統和電視型號存在漏洞風險:
- webOS 4.9.7 – 5.30.40,運行於 LG43UM7000PLA
- webOS 5.5.0 – 04.50.51,運行於 OLED55CXPUA
- webOS 6.3.3-442(kisscurl-kinglake)– 03.36.50,運行於 OLED48C1PUB
- webOS 7.3.1-43(mullet-mebin)– 03.33.85,運行於 OLED55A23LA
Bitdefender 必特防毒資安表示他們已於 2023 年 11 月向 LG 提供了這些漏洞資訊。而 LG 在 2024 年 3 月 22 日已經發布了解決方案。對於以上提到的型號,擁有者應該檢查 WebOS 是否為最新版本。
檢查步驟如下:
- 打開您的 LG 電視,按下遙控器上的 “設置” 按鈕。該按鈕上有一個齒輪圖示。
- 在 “客戶支援” 或 “一般” 選單下選擇 “軟體更新”。
- 在 “軟體更新” 選項下選擇 “檢查更新”。
- 按照電視上的提示完成 WebOS 的更新。
Share via: