安基网 首页 资讯 安全报 查看内容

SQLite数据库漏洞,数千款日常必备软件或受影响

2018-12-18 13:28| 投稿: lofor |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 据报道,由腾讯刀锋安全团队发现的一个新的SQLite数据库漏洞可能会影响到数千款常用的桌面和移动应用程序,包括谷歌Chromium浏览器。具体而言,该漏洞允许攻击者在受害者的计算机上运行恶意代码,并可能会导致内存泄 ...

据报道,由腾讯刀锋安全团队发现的一个新的SQLite数据库漏洞可能会影响到数千款常用的桌面和移动应用程序,包括谷歌Chromium浏览器。具体而言,该漏洞允许攻击者在受害者的计算机上运行恶意代码,并可能会导致内存泄露或应用程序崩溃。

SQLite是一种轻量级数据库,支持Windows、Linux和Unix等主流操作系统,且能够与多种编程语言(如 Tcl、C#、PHP和Java等)结合使用。相比主流数据库管理系统Mysql和PostgreSQL而言,它的处理速度要更快。

因此,SQLite目前已经被数千款应用程序所采用,不仅包括桌面应用程序,还包括Android和iOS移动应用程序。这也就意味着,这个新的SQLite数据库漏洞的影响范围将极为广泛,特别是网页浏览器。

根据刀锋团队的说法,只要用户所使用的浏览器(无论是桌面还是移动应用程序)支持SQLite,以及能够将漏洞利用代码转换成常规SQL语法的Web SQL API,攻击者就可以在用户访问网页时对该漏洞进行远程利用。

需要指出的是,Firefox和Edge并不支持这个API,但并不包括基于Chromium的开源浏览器。也就是说,谷歌Chrome、Vivaldi、Opera和Brave都会受到影响。经过测试,在Android 5.1和9上运行的Chrome 70.0.3538.110和在MacOS 10.14上运行的Electron 2.0.12,都会导致一个选项卡/一个窗口崩溃。

如上所述,受影响的不止是网页浏览器,其他应用程序同样也会受到影响。例如,Google Home(一种智能家居设备,可以通过语音控制家庭设备)就是其中一个例子。刀锋团队在其报告中写道:“是的,我们成功地使用此漏洞攻破了Google Home,目前我们还没有计划披露漏洞利用代码。”

刀锋团队表示,他们在今年秋初就已经向SQLite官方通报了这个问题。在本月1日,SQLite官方也已经通过SQLite 3.26.0发布了补丁,而在上周发布的谷歌Chrome 71也已经修复了该漏洞。

类似Vivaldi和Brave这样的基于Chromium的开源浏览器目前采用的都是最新版本的Chromium,因此最新的版本不会受到影响。但Opera仍在运行老旧版本的Chromium,因此即使是最新的版本也仍然会受到影响。虽然并不支持Web SQL,但Firefox也会受到影响,原因在于它附带了一个本地可访问的SQLite数据库,这意味着本地攻击者可以利用此漏洞来执行代码等。

不过,来自网络安全公司Check Point的研究员Eyal Itkin指出,想要成功利用这个漏洞,需要攻击者能够发出任意的SQL指令以破坏数据库并触发漏洞。因此,实际受影响的应用程序数量相对来说要少得多。

虽然SQLite官方已经发布了补丁,但很多应用程序在今后的几年时间里仍然会很容易受到攻击。这是由于升级桌面、移动或网页应用程序的底层数据库引擎是一个繁琐的过程,并且经常会导致数据损坏。因此,大多数应用程序开发人员都会尽可能推迟更新升级。

也是因为这个原因,刀锋团队表示暂时不会发布任何概念验证漏洞利用代码。尽管如此,其他安全研究人员已经开始对SQLite补丁进行逆向工程,以了解该漏洞的工作原理。

目前,此漏洞尚未获得CVE编号,刀锋团队已将其命名为“Magellan”。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。


Tag标签:

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部