Elektronicafabrikant LG heeft eind maart vier kwetsbaarheden in webOS 4, 5, 6 en 7 gedicht. Dat meldt securitybedrijf Bitdefender. Het was via sommige van deze kwetsbaarheden mogelijk om webOS-televisies vanop een afstand over te nemen.
Het gaat volgens de onderzoekers van Bitdefender over de volgende kwetsbaarheden: CVE-2023-6317, CVE-2023-6318, CVE-2023-6319 en CVE-2023-6320. De onderzoekers schrijven dat het via de eerste kwetsbaarheid mogelijk was om de autorisatie van het webOS-besturingssysteem te omzeilen en een nieuw gebruikersaccount op de televisies aan te maken. Dat werkte via een dienst die draait op netwerkpoorten 3000 en 3001, die worden gebruikt voor smartphoneconnectiviteit.
Via de tweede kwetsbaarheid, CVE-2023-6318, kon men het nieuwe gebruikersaccount roottoegang geven. Hierdoor kon het volledige televisietoestel overgenomen worden. Kwetsbaarheden CVE-2023-6319 en CVE-2023-6320 maakten het ten slotte mogelijk om een command injection op de getroffen webOS-televisies uit te voeren.
Bitdefender had de kwetsbaarheden op 1 november 2023 gemeld bij LG. De Zuid-Koreaanse elektronicafabrikant bevestigde het bestaan van de lekken op 15 november. Op 22 maart 2024 werd er een update uitgerold met daarin een beveiligingspatch voor de lekken. De bevindingen van Bitdefender zijn nu pas naar buiten gebracht. De kwetsbaarheden bevonden zich in bepaalde versies van webOS 4, 5, 6 en 7. Bitdefender noemt daarbij verschillende specifieke versies en televisiemodellen.
Kwetsbare versies LG webOS (via Bitdefender) |
LG webOS 4.9.7 - 5.30.40 (op LG43UM7000PLA) |
LG webOS 04.50.51 - 5.5.0 (op OLED55CXPUA) |
LG webOS 0.36.50 - 6.3.3-442 (op OLED48C1PUB) |
LG webOS 03.33.85 - 7.3.1-43 (op OLED55A23LA) |