SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响

发布时间: 编辑:CINDY 0人评论 6139次浏览 浏览器
摘要 : SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响

日前,腾讯Blade安全团队发现的一个SQLite漏洞可以让黑客在受害者的电脑上远程运行恶意代码,还会导致程序内存泄露或程序崩溃。Tencent Blade Team将其命名为Magellan(麦哲伦),并将其上报给了国家信息安全漏洞共享平台(CNVD)。

SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响

2018年12月10日,CNVD收录了这一SQLite远程代码执行漏洞(CNVD-2018-24855),公告详见http://www.cnvd.org.cn/webinfo/show/4803。

作为知名开源数据库,SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响面十分广泛。范围涵盖物联网设备和桌面软件,甚至包括网络浏览器AndroidiOS应用。并且只要浏览器支持SQLite和Web SQL API,从而将破解代码转变成常规的SQL语法,黑客便可在用户访问网页时对其加以利用。

包括谷歌chrome、Vivaldi、Opera和Brave在内等基于Chromium的开源浏览器都支持这种API,都会受到影响。火狐和Edge除外。目前Google与SQLite官方已确认并修复了此漏洞。本着负责任的漏洞披露原则 ,我们暂时不会透露此漏洞的任何详细信息,同时我们正在努力推动所有受影响厂商尽快修复此漏洞。

不光网络浏览器会遭受攻击,其他应用也会受到影响。例如,Google Home就面临安全威胁。腾讯Blade团队在本周的报告中写道:“我们借助这个漏洞成功利用了Google Home。”

SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响

腾讯Blade安全团队表示,他们曾在今年秋初向SQLite团队报告过麦哲伦漏洞,12月1日已经通过SQLite 3.26.0发送了补丁。上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。

但Opera仍在运行较老版本的Chromium,因此仍会受到影响。

另外,虽然并不支持Web SQL,但火狐也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。

而且,由于升级所有桌面、移动或网页应用的底层数据库引擎,危风险不小,经常导致数据损坏,所以多数程序员都会尽可能向后推迟。这样一来,即使SQLite团队发布了官方补丁,但很多应用仍会在今后几年面临威胁。因此,腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。

查看更多

转载必须注明来自:https://huajiakeji.com/browser/2018-12/1730.html

Window Resizer

Window Resizer

0 人评论 41470 次人浏览 4.3分 4.3 分
Window Resizer是一款可以调整浏览器窗口大小的chrome窗口缩放插件。
2345加速浏览器下载

2345加速浏览器下载

1 人评论 15635 次人浏览 3.0分 3.0 分
2345加速浏览器是一款2345网络公司最新推出的浏览器。他可以以闪电般的速度加载网站和运行应用,是一款快速、免费的网络浏览器,全面超越IE。
评论:(0)

已有 0 位网友发表了一针见血的评论,你还等什么?