每日安全资讯SQLite 被曝存在漏洞所有 Chromium 浏览器受影响

Posted 2021-04-30 Data Security

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了每日安全资讯SQLite 被曝存在漏洞所有 Chromium 浏览器受影响相关的知识，希望对你有一定的参考价值。

SQLite 被曝存在一个影响数千应用的漏洞，受害应用包括所有基于 Chromium 的浏览器。据 ZDNet 报导，该漏洞由腾讯 Blade 安全团队发现，允许攻击者在受害者的计算机上运行恶意代码，并在危险较小的情况下泄漏程序内存或导致程序崩溃。

由于 SQLite 嵌入在数千个应用程序中，因此该漏洞会影响各种软件，包括物联网设备、桌面软件、Web 浏览器、android 与 ios 应用。

如果底层浏览器支持 SQLite 和 Web SQL API，那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API，这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响，而 Firefox 和 Edge 由于不支持此 API，因此不受影响。

腾讯 Blade 研究人员表示，他们在今年秋季早些时候向 SQLite 团队报告了此问题，SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题，但是 Opera 的 Chromium 版本还没有更新，这意味着它很可能还会受到影响。

另一方面，虽然 Firefox 不支持 Web SQL API，不会受到远程利用攻击，但是其自带了一个本地可访问的 SQLite 数据库，这意味着本地攻击者可能利用此漏洞来执行代码。

ZDNet 表示，由于开发者很少更新代码库及其应用的组件部分，因此很可能这个漏洞在接下来几年内还会持续产生影响，因此，腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。

*来源：开源中国

更多资讯

◈ 微软是如何查获内部泄密者的：这套路让人防不胜防

http://t.cn/EUmLR0M

◈ 德国监管机构称没有华为设备后门证据

http://t.cn/EUmLrEH

◈ 个人信息保护立法翘首可期

http://t.cn/EUmLFt9

“◈ 脸书”涉泄680万用户照片或面临16亿美元罚款