黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

索尼BRAVIA智能电视机曝多个安全漏洞,无需账号密码即可实施攻击

2018-10-9 02:14| 投稿: xiaotiger |来自: 互联网

摘要: 与前几年相比,如今已经有越来越多的智能电视机开始接入互联网。据统计,目前全球联网的智能电视机估计已达到7.6亿台。和大多数物联网设备一样,智能电视机也包含始终在线且高性能的图形处理器(GPU),而这恰好某些 ...

免责声明:本站系公益性非盈利IT网站,本文由投稿者转载自互联网,文末已注明出处,其内容和图片版权归原作者所有,文中所述不代表本站观点,若有侵权或转载不当之处请从网站右下角联系我们处理。

与前几年相比,如今已经有越来越多的智能电视机开始接入互联网。据统计,目前全球联网的智能电视机估计已达到7.6亿台。和大多数物联网设备一样,智能电视机也包含始终在线且高性能的图形处理器(GPU),而这恰好某些恶意软件(尤其是恶意软件挖掘恶意软件)寻找的目标之一。

在上周,FortiGuard Labs就公开披露了三个影响到索尼BRAVIA智能电视机的高严重程度漏洞:一个堆栈缓冲区溢出漏洞、一个目录遍历漏洞,以及一个命令注入漏洞。这些漏洞存在于索尼的一款名为“Photo Sharing Plus”的专属应用程序中,具体如下:

  • 堆栈缓冲区溢出——CVE-2018-16595(高严重程度),这是一个由于对用户输入的大小检查不足而导致的内存损坏漏洞。如果将足够长的HTTP POST请求发送到相应的URL,那么该应用程序就将崩溃。
  • 目录遍历——CVE-2018-16594(高严重程度),这个漏洞是由于该应用程序通过上传URL接收用户的输入文件时错误地处理文件名而导致的。攻击者可以通过上传包含特定文件名(例如:./../)的任意文件来触发它,然后便可以遍历整个文件系统。
  • 命令注入——CVE-2018-16593(危急严重程度),这个漏洞是由于该应用程序在用户上传媒体文件时错误地处理文件名而导致的。攻击者可以滥用这种文件名的错误处理在系统上运行任意命令,甚至能够使用root权限远程执行完整的代码。

在发现这些漏洞之后,FortiGuard Labs直接向索尼的PSIRT团队进行了通报。就在几周之前,索尼发布了针对这些漏洞的修复建议。

FortiGuard Labs表示,由于利用这些漏洞并不需要身份验证,只需要设法接入目标电视机的本地网络即可。因此,索尼BRAVIA用户被建议尽快升级自己的系统。

时间线:

2018年3月27日:通知发送给索尼PSIRT团队,索尼在当天确收。

2018年4月3日:索尼确认漏洞,并开始开发安全补丁。

2018年6月1日:索尼通过Over-The-Air(OTA)更新发布补丁。

2018年8月3日:索尼完成OTA全球交付(注意:OTA更新需要用户的批准和网络连接)。

2018年8月30日:索尼发布有关该补丁的咨询。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6609793025688207879/

免责声明:本站系公益性非盈利IT网站,本文由投稿者转载自互联网,文末已注明出处,其内容和图片版权归原作者所有,文中所述不代表本站观点,若有侵权或转载不当之处请从网站右下角联系我们处理。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部