SQLite 漏洞影响所有 Chromium 浏览器；FB 开源 NLP 建模框架 PyText

Posted 2021-04-28 技术最前线

(给技术最前线加星标，每天看技术热点)

0、SQLite 被曝存在漏洞，所有 Chromium 浏览器受影响

SQLite 被曝存在一个影响数千应用的漏洞，受害应用包括所有基于 Chromium 的浏览器。

据 ZDNet 报导，该漏洞由腾讯 Blade 安全团队发现，允许攻击者在受害者的计算机上运行恶意代码，并在危险较小的情况下泄漏程序内存或导致程序崩溃。由于 SQLite 嵌入在数千个应用程序中，因此该漏洞会影响各种软件，包括物联网设备、桌面软件、Web 浏览器、android 与 ios 应用。

如果底层浏览器支持 SQLite 和 Web SQL API，那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API，这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响，而 Firefox 和 Edge 由于不支持此 API，因此不受影响。

腾讯 Blade  研究人员表示，他们在今年秋季早些时候向 SQLite 团队报告了此问题，SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题，但是 Opera 的 Chromium 版本还没有更新，这意味着它很可能还会受到影响。

另一方面，虽然 Firefox 不支持 Web SQL API，不会受到远程利用攻击，但是其自带了一个本地可访问的 SQLite 数据库，这意味着本地攻击者可能利用此漏洞来执行代码。

ZDNet 表示，由于开发者很少更新代码库及其应用的组件部分，因此很可能这个漏洞在接下来几年内还会持续产生影响，因此，腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。

1、Bing 搜索引擎闹出大乌龙：置顶手把手教你如何盗版自家 Office

微软正在通过其Bing搜索引擎，非常贴心地“大发福利”：将搜索Office 2019下载链接的用户指引到一个盗版网站，该网站向他们传授有关盗版公司Office套件的基础知识。有趣的是，Bing甚至还用卡片形式将有关自家的盗版内容置顶。每当用户在Bing上搜索术语“Office 2019 Download”时，就会发生这种情况。结果是Bing搜索卡（突出显示的搜索结果）链接到盗版教程。

锁链接的网站crackfullpc是一个不折不扣的盗版网站，里面有详细的建议让读者如何获取和安装Office 2019的“破解”版本。

这些步骤引导用户下载和安装uTorrent，这是一个知名的下载BT文件的应用程序。然后，该站点告诉用户下载并运行一个torrent文件，该文件将盗版Office 2019下载到他们的计算机上，然后通过应用破解文件引导用户安装盗版版本。

荷兰安全研究员Jeroen Frijters在Twitter上发布了他的调查结果，嘲笑微软的推文发出并被广泛关注后，用于下载盗版Office 2019版本的torrent的链接已经被关闭。由于网站已关闭，我们无法判断这波Office 2019用户的盗版版本是否包含了恶意软件。

今年早些时候，Bing的搜索词“Google Chrome”中的热门广告将用户重定向到一个虚假的谷歌Chrome下载页面，该页面提供了一个木马化版本的浏览器。

预计微软的工作人员会在未来几个小时内干预并清理Bing的搜索结果，就像他们上一次处理受污染的谷歌Chrome下载广告一样。

2、Facebook 开源 NLP 建模框架 PyText，从研究到生产变得更容易

Facebook AI Research（FAIR）开源了 NLP 建模框架 PyText。

PyText 是一个基于 PyTorch 构建的深度学习 NLP 建模框架。PyText 通过为模型组件提供简单且可扩展的接口和抽象，以及使用 PyTorch 的 Caffe2 执行引擎导出模型进行推理的功能，模糊了实验与大规模部署之间的界限。其预训练模型包括文本分类、序列标注等。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻