Sicherheitslücke im LG Simple Editor ermöglicht Fernzugriff auf TV Systeme
Eine schwerwiegende Sicherheitslücke wurde im LG Simple Editor entdeckt, die es Angreifern ermöglicht, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Die Schwachstelle, bekannt unter der Kennung CVE-2023-40493, erfordert keine Authentifizierung zur Ausnutzung und hat einen kritischen CVSS-Score von 9.8 / 10 erhalten.
Der LG Simple Editor ist ein Textbearbeitungsprogramm für Überblendungen auf Fernsehprogrammen und wird oft in Bars bei Sportübertragungen eingesetzt. Die Sicherheitslücke betrifft die Implementierung des Befehls “copySessionFolder”. Das Problem resultiert aus einer unzureichenden Validierung benutzergenerierter Pfade, bevor diese in Dateioperationen verwendet werden. Dies ermöglicht es einem Angreifer, Code im Kontext des SYSTEM-Benutzers auszuführen.
Ein weiterer Befehl “copyContent” ist ebenfalls mit einem CVSS-Score von 9.8 / 10 ausnutzbar, ebenfalls durch unzureichende Pfad Valdierung. Diese Lücke wird unter CVE-2023-40500 geführt.
Trotz der Meldung der Schwachstelle an LG durch die Zero Day Initiative (ZDI) am 14. Februar 2023 und wiederholter Nachfragen bleibt das Problem ungelöst. LG hat angegeben, keine Pläne zur Behebung der Sicherheitslücke zu haben. Angesichts der Art der Schwachstelle besteht die einzige wirksame Maßnahme darin, die Interaktion mit der Anwendung einzuschränken.