Sony智能电视漏洞可远程访问、获取root权限

ang010ela 漏洞 2018年10月8日发布

导语:软件补丁已成为智能电视厂商面临的一个新问题,同时智能电视等物联网设备也成为网络犯罪的新目标。

随着智能电视数量的增长,智能电视中漏洞的数量也随之增长。研究人员日前发现8款sony智能电视中的3个漏洞,其中一个漏洞评级为critical(重大),两个高危(high severity)。这三个漏洞分别是:

· 栈缓冲区溢出漏洞—Stack Buffer Overflow – CVE-2018-16595 (高危high severity):该漏洞源于没有对用户输入进行大小检查,以致出现内存破坏漏洞。当有足够长的HTTP POST请求发送给相应的URL时,应用就会奔溃。

· 目录遍历漏洞—Directory Traversal – CVE-2018-16594 (高危high severity):当应用通过上传URL的方式接受用户输入文件时,会出现文件名处理错误。攻击者可以用可以遍历整个文件系统的伪造的文件名(如../../)上传任意文件。

· 命令注入漏洞—Command Injection – CVE-2018-16593 (重大critical severity):当用户上传媒体文件时,应用不能正确处理文件名。因此攻击者可以滥用这样的文件名处理错误在系统上运行任意代码,导致root权限的远程代码执行。

这3个漏洞都源于Sony的Photo Sharing Plus应用,app允许用户通过手机或平板电脑与Sony的智能电视分享媒体内容。攻击者需要与Sony智能电视处于同一无线网络环境下。

Sony的OTA补丁升级需要用户同意,并且网络连接正常。Sony称受影响的设备会默认接受安全更新,受影响的Bravia模块包括R5C、WD75、WD65、XE70、XF70、WE75、WE6、WF6。

智能电视的网络威胁不断升级,不容小觑。今年年初,Consumer Reports发现三星和TCL的两款智能电视存在安全漏洞,攻击者利用漏洞可以控制目标电视,包括换台、调音量、播放YouTube视频等。不幸的是,智能电视平台和其他联网设备的数量和漏洞数量都在不断增长,物联网设备也逐渐成为网络犯罪分子的目标,比如联网和高性能的GPU可能会被劫持用于加密货币挖矿或其他恶意用途。

本文翻译自:https://threatpost.com/sony-smart-tv-bug-allows-remote-access-root-privileges/138063/如若转载,请注明原文地址: http://www.4hou.com/vulnerable/13885.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论