Os especialistas da Bitdefender descobriram quatro vulnerabilidades no LG webOS – este sistema operacional é usado em smart TVs do fabricante coreano. Atualizações de segurança foram lançadas para resolver todas essas vulnerabilidades.
A varredura mostrou que 91 mil dispositivos suscetíveis a essas vulnerabilidades continuam operando. Os erros de software identificados permitem ataques de injeção de comando, escalonamento de privilégios e ataques de desvio de segurança; eles são rastreados sob CVE-2023-6317, CVE-2023-6318, CVE-2023-6319 e CVE-2023-6320. Por exemplo, CVE-2023-6317 permite que um invasor adicione um usuário adicional a uma TV, enquanto CVE-2023-6318 permite que um usuário use o acesso “obtido no primeiro estágio para obter direitos de root e controle total do dispositivo”.
As vulnerabilidades afetaram webOS 4.9.7-5.30.40 no modelo LG43UM7000PLA, webOS 5.5.0-04.50.51 no LG OLED55CXPUA, webOS 6.3.3-442 (kisscurl-kinglake)-03.36.50 no LG OLED48C1PUB e webOS 7.3.1-43 (tainha-mebin)-03.33.85 no LG OLED55A23LA. Os especialistas relataram suas descobertas à LG em novembro de 2023, mas a empresa não lançou atualizações de segurança até março de 2024. Os proprietários de TV que não receberam avisos sobre vulnerabilidades e o lançamento de atualizações que as fechem são recomendados a atualizar o software manualmente na seção de configurações.