LG智能电视被曝存四安全漏洞，影响超9万台设备

据报道，网络安全厂商 Bitdefender近期发现LG多款智能电视，包括LG43UM7000PLA、OLED55CXPUA、OLED48C1PUB及OLED55A23LA等系列，均搭载的WebOS版本中的四个漏洞，可能导致黑客未经授权远程操控电视。

该漏洞利用了3000/3001端口上运行的服务，主要为智能手机提供PIN接入功能。Bitdefender指出，虽然这些漏洞应仅限局域网使用，但Shodan扫描显示，约有91000台潜在易受攻击的LG设备。

具体而言，这四个漏洞分别包括：

1. CVE-2023-6317可使攻击者在未经许可的情况下，借助变量设置绕过电视的授权机制，增加额外用户。

2. CVE-2023-6318是一种权限提升漏洞，能使攻击者在不需认证的情况下获取root用户权限。

3. CVE-2023-6319可通过篡改播放歌词程序来执行指令注入，让攻击者执行任意指令。

4. CVE-2023-6320则使用com.webos.service.connectionmanager/tv/setVlanStaticAddress API接口实现验证命令注入，使攻击者能以和root用户同等的权限执行命令。

目前，LG已于2023年11月1日收到Bitdefender的调查结果，并已在去年底开始修复，相关更新已于今年3月22日相继推送给消费者。建议消费者前往电视“设置”页“支持”处，选择“软件更新”进行检查更新。