SQLite远程代码执行漏洞曝光,基于SQLite和Chromium的软件浏览器均受影响

Posted ISEC安全e站

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQLite远程代码执行漏洞曝光,基于SQLite和Chromium的软件浏览器均受影响相关的知识,希望对你有一定的参考价值。

研究人员发现,SQLite存在远程代码执行漏洞Magellan,黑客可远程执行任意代码,泄露程序内存,并发动DoS拒绝服务攻击,所有基于SQLite和Chromium的软件、浏览器均受影响。

图片来源于创客贴

该漏洞由国家信息安全漏洞共享平台(CNVD)发布公告进行预警,被追踪为CNVD-2018-24855。黑客可调用Web SQL API触发该漏洞,修改数据库表,也可通过SQLite数据库索引操作触发漏洞,在浏览器Render进程中执行远程代码。

 

据悉,SQLite是一款基于磁盘的关系数据库管理系统,几乎可与所有设备、平台和编程语言兼容。截至目前,已有数百万应用程序使用SQLite完成了数十亿次安装,众多物联网设备、Windows应用程序、mac OS及Web浏览器易受影响。

SQLite远程代码执行漏洞曝光,基于SQLite和Chromium的软件、浏览器均受影响

图片来源于pixabay


此外,由于Chromium开源浏览器引擎支持Web SQL API,因此,所有基于Chromium的浏览器,包括Google Chrome、Vivaldi、Opera和Brave等主流浏览器也将受到影响。

 

截至目前,Google和SQLite已修复该漏洞,但由于多数应用程序无法在短时间内将其修复,研究人员将不会向公众披露该漏洞的技术细节和PoC代码。专家建议用户尽快将Chromium及SQLite更新至最新版本,禁用Web SQL API,并关闭SQLite中的fts3以保护设备。

SQLite远程代码执行漏洞曝光,基于SQLite和Chromium的软件、浏览器均受影响

图片来源于pixabay


来源:http://u6.gg/gyFwj,“ISEC安全e站”独家编译,转载请注明出处及本文链接。

以上是关于SQLite远程代码执行漏洞曝光,基于SQLite和Chromium的软件浏览器均受影响的主要内容,如果未能解决你的问题,请参考以下文章

高危安全预警SQLite远程代码执行漏洞

关于SQLite远程代码执行漏洞的安全公告

SQLite严重漏洞,所有Chromium浏览器中招!

SQLite曝严重代码执行漏洞,数百万app受到影响

安全公司意外曝光Windows远程代码执行漏洞

资讯腾讯团队发现 SQLite 漏洞:或影响 Chrome 等数千款应用