SQLite 被曝存在漏洞,所有 Chromium 浏览器受影响

h4cd
 h4cd
发布于 2018年12月16日
收藏 9

SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器。

ZDNet 报导,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码,并在危险较小的情况下泄漏程序内存或导致程序崩溃。由于 SQLite 嵌入在数千个应用程序中,因此该漏洞会影响各种软件,包括物联网设备、桌面软件、Web 浏览器、Android 与 iOS 应用。

如果底层浏览器支持 SQLite 和 Web SQL API,那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API,这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响,而 Firefox 和 Edge 由于不支持此 API,因此不受影响。

腾讯 Blade  研究人员表示,他们在今年秋季早些时候向 SQLite 团队报告了此问题,SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题,但是 Opera 的 Chromium 版本还没有更新,这意味着它很可能还会受到影响。

另一方面,虽然 Firefox 不支持 Web SQL API,不会受到远程利用攻击,但是其自带了一个本地可访问的 SQLite 数据库,这意味着本地攻击者可能利用此漏洞来执行代码。

ZDNet 表示,由于开发者很少更新代码库及其应用的组件部分,因此很可能这个漏洞在接下来几年内还会持续产生影响,因此,腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:SQLite 被曝存在漏洞,所有 Chromium 浏览器受影响
加载中

精彩评论

helloclia
helloclia
SQLite应该要用Rust重写了。
冰力
冰力
用 firefox
s
seebigsea

引用来自“MJ_PC_Lab”的评论

换了google肯定3个月后强制公开漏洞细节
这个。。。SQLite出问题的FTS模块,貌似是Google贡献的代码~~

最新评论(13

不知所味
不知所味
sqlite表示这个漏洞来自引用的其他组件😅
李昊
李昊

引用来自“MJ_PC_Lab”的评论

换了google肯定3个月后强制公开漏洞细节

引用来自“seebigsea”的评论

这个。。。SQLite出问题的FTS模块,貌似是Google贡献的代码~~
这就尴尬了
helloclia
helloclia

引用来自“helloclia”的评论

SQLite应该要用Rust重写了。

引用来自“久永”的评论

现在是用啥写的?
C写的,保证内存安全靠运气了!😅
kppom
kppom
所以微软放弃Edge真的是个重大损失
阿信sxq
阿信sxq

引用来自“MJ_PC_Lab”的评论

换了google肯定3个月后强制公开漏洞细节
那要是别家的漏洞才是,自家的不会
久永
久永

引用来自“helloclia”的评论

SQLite应该要用Rust重写了。
现在是用啥写的?
s
seebigsea

引用来自“MJ_PC_Lab”的评论

换了google肯定3个月后强制公开漏洞细节
当然了,现在是SQLite官方维护:

Portions of the original FTS3 code were contributed to the SQLite project by Scott Hess of Google. It is now developed and maintained as part of SQLite.

https://sqlite.org/fts3.html
s
seebigsea

引用来自“MJ_PC_Lab”的评论

换了google肯定3个月后强制公开漏洞细节
这个。。。SQLite出问题的FTS模块,貌似是Google贡献的代码~~
猫咪喵喵
猫咪喵喵
那么问题来了,国内的套壳浏览器什么时候会舍得套新版本的壳呢?
MJ_PC_Lab
MJ_PC_Lab
换了google肯定3个月后强制公开漏洞细节
返回顶部
顶部