SQLite 被曝存在漏洞,所有 Chromium 瀏覽器受影響
阿新 • • 發佈:2018-12-16
SQLite 被曝存在一個影響數千應用的漏洞,受害應用包括所有基於 Chromium 的瀏覽器。
據 ZDNet 報導,該漏洞由騰訊 Blade 安全團隊發現,允許攻擊者在受害者的計算機上執行惡意程式碼,並在危險較小的情況下洩漏程式記憶體或導致程式崩潰。由於 SQLite 嵌入在數千個應用程式中,因此該漏洞會影響各種軟體,包括物聯網裝置、桌面軟體、Web 瀏覽器、Android 與 iOS 應用。
如果底層瀏覽器支援 SQLite 和 Web SQL API,那麼將漏洞利用程式碼轉換為常規 SQL 語法也可以通過訪問網頁等操作遠端利用此漏洞。Chromium 瀏覽器引擎支援此 API,這意味著像 Chrome、Vivaldi、Opera 和 Brave 等瀏覽器都會受到影響,而 Firefox 和 Edge 由於不支援此 API,因此不受影響。
騰訊 Blade 研究人員表示,他們在今年秋季早些時候向 SQLite 團隊報告了此問題,SQLite 3.26.0 中進行了修復。Chrome 71 已經解決了該問題,但是 Opera 的 Chromium 版本還沒有更新,這意味著它很可能還會受到影響。
另一方面,雖然 Firefox 不支援 Web SQL API,不會受到遠端利用攻擊,但是其自帶了一個本地可訪問的 SQLite 資料庫,這意味著本地攻擊者可能利用此漏洞來執行程式碼。
ZDNet 表示,由於開發者很少更新程式碼庫及其應用的元件部分,因此很可能這個漏洞在接下來幾年內還會持續產生影響,因此,騰訊 Blade 團隊表示暫時不會發布任何概念驗證漏洞利用程式碼。