Si vous avez un Fire TV Stick branché sur votre téléviseur, il est essentiel de vérifier qu’il est entièrement mis à jour avec le tout dernier logiciel. Cet avertissement urgent a été émis par les experts en sécurité de Bitdefender, qui ont découvert un certain nombre de vulnérabilités qui pourraient laisser les gadgets de streaming ouverts aux attaques des cybercriminels.
En fait, l’un des défauts était si grave qu’il aurait pu permettre aux attaquants de prendre le contrôle total de l’appareil – c’est clairement inquiétant pour quiconque utilise la technologie TV populaire d’Amazon.
Au total, trois bogues ont été trouvés, l’équipe ayant alerté Amazon des problèmes à la fin de l’année dernière.
Le détaillant en ligne a maintenant publié un correctif urgent, mais il est essentiel que les utilisateurs vérifient que tout est entièrement mis à jour avec le tout dernier système d’exploitation.
Heureusement, il semble que la publication du logiciel ait eu lieu assez rapidement pour empêcher toute attaque de se produire sans aucune preuve que les problèmes ont été utilisés contre les clients.
Bitdefender affirme avoir travaillé en étroite collaboration avec l’équipe d’Amazon Fire TV à toutes les étapes de la divulgation des vulnérabilités, la société félicitant Amazon pour sa réponse rapide.
Pour mettre à jour votre Fire TV Stick, accédez à Paramètres> My Fire TV> À propos de et sélectionnez Vérifier la mise à jour du système. Si une mise à jour est disponible, vous pouvez l’installer immédiatement. Votre système redémarrera une fois le téléchargement terminé.
• Authentification non autorisée via le forçage brutal du code PIN du réseau local. Cette vulnérabilité a été causée par une implémentation incorrecte du protocole Password Authenticated Key Exchange by Juggling (ou J-PAKE) qui aurait pu permettre à des attaquants de prendre le contrôle de l’appareil. (CVE-2023-1385)
• Une vulnérabilité dans la fonction setMediaSource sur le service amzn.thin.pl permettait l’exécution de code Javascript arbitraire. Il pourrait être utilisé pour charger des URL HTTP arbitraires dans la vue Web. (CVE-2023-1384)
• Une vulnérabilité dans la fonction exchangeDeviceServices sur le service amzn.dmgr permettait à un attaquant d’enregistrer des services qui ne sont accessibles que localement. (CVE-2023-1383)