资讯腾讯团队发现 SQLite 漏洞:或影响 Chrome 等数千款应用

Posted 巨邦智库

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了资讯腾讯团队发现 SQLite 漏洞:或影响 Chrome 等数千款应用相关的知识,希望对你有一定的参考价值。

据美国科技媒体 ZDNet 报道,腾讯 Blade 安全团队发现的一个 SQLite 漏洞可以让黑客在受害者的电脑上远程运行恶意代码,还会导致程序内存泄露或程序崩溃。由于 SQLite 被嵌入到数千款应用中,因此这个漏洞会影响许多软件,范围涵盖物联网设备和桌面软件,甚至包括网络浏览器到 androidios 应用。

访问:

腾讯云

并且只要浏览器支持 SQLite 和 Web SQL API,从而将破解代码转变成常规的 SQL 语法,黑客便可在用户访问网页时对其加以利用。

火狐和 Edge 并不支持这种 API,但基于 Chromium 的开源浏览器都支持这种 API。也就是说,谷歌 Chrome、Vivaldi、Opera 和 Brave 都会受到影响。

【资讯】腾讯团队发现 SQLite 漏洞:或影响 Chrome 等数千款应用

不光网络浏览器会遭受攻击,其他应用也会受到影响。例如,Google Home 就面临安全威胁。腾讯 Blade 团队在本周的报告中写道:“我们借助这个漏洞成功利用了 Google Home。”

腾讯 Blade 研究人员表示,他们曾在今年秋初向 SQLite 团队报告过这个问题,12 月 1 日已经通过 SQLite 3.26.0 发送了补丁。上周发布的谷歌 Chrome 71 也已经修补该漏洞。

Vivaldi 和 Brave 等基于 Chromium 的浏览器都采用最新版本的 Chromium,但 Opera 仍在运行较老版本的 Chromium,因此仍会受到影响。

虽然并不支持 Web SQL,但火狐也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的 SQLite 数据库,因此本地攻击者也可以使用这个漏洞执行代码。

Check Point 研究员艾亚尔·伊特金(Eyal Itkin)也指出,该漏洞还需要攻击者能够发出任意的 SQL 指令,从而破坏数据库并触发漏洞,因而会大幅减少受影响的漏洞数量。

但即使 SQLite 团队发布补丁,很多应用仍会在今后几年面临威胁。原因在于:升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程,经常导致数据损坏,所以多数程序员都会尽可能向后推迟。

也正因如此,腾讯 Blade 团队在发布概念验证攻击代码时会尽可能保持谨慎。

以上是关于资讯腾讯团队发现 SQLite 漏洞:或影响 Chrome 等数千款应用的主要内容,如果未能解决你的问题,请参考以下文章

每日安全资讯SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响

腾讯安全团队披露SQLite数据库漏洞,数千款日常必备软件或受影响

SQLite 被曝存在漏洞,数千应用受影响

注意!SQLite被曝漏洞,Chrome 火狐等数千应用或受影响

转载注意!SQLite被曝漏洞,Chrome 火狐等数千应用或受影响

SQLite 漏洞影响所有 Chromium 浏览器;FB 开源 NLP 建模框架 PyText