Eine schwerwiegende Sicherheitslücke wurde im LG Simple Editor entdeckt, die es Angreifern ermöglicht, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Die Schwachstelle, bekannt unter der Kennung CVE-2023-40493, erfordert keine Authentifizierung zur Ausnutzung und hat einen kritischen CVSS-Score von 9.8 / 10 erhalten.
Der LG Simple Editor ist ein Textbearbeitungsprogramm für Überblendungen auf Fernsehprogrammen und wird oft in Bars bei Sportübertragungen eingesetzt. Die Sicherheitslücke betrifft die Implementierung des Befehls „copySessionFolder“. Das Problem resultiert aus einer unzureichenden Validierung benutzergenerierter Pfade, bevor diese in Dateioperationen verwendet werden. Dies ermöglicht es einem Angreifer, Code im Kontext des SYSTEM-Benutzers auszuführen.
Ein weiterer Befehl „copyContent“ ist ebenfalls mit einem CVSS-Score von 9.8 / 10 ausnutzbar, ebenfalls durch unzureichende Pfad Valdierung. Diese Lücke wird unter CVE-2023-40500 geführt.
Trotz der Meldung der Schwachstelle an LG durch die Zero Day Initiative (ZDI) am 14. Februar 2023 und wiederholter Nachfragen bleibt das Problem ungelöst. LG hat angegeben, keine Pläne zur Behebung der Sicherheitslücke zu haben. Angesichts der Art der Schwachstelle besteht die einzige wirksame Maßnahme darin, die Interaktion mit der Anwendung einzuschränken.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: