据宣布,由腾讯刀锋安全团队创造的一个新的SQLite数据库漏洞可能会影响到数千款常用的桌面和移动运用程序,包括谷歌Chromium浏览器。详细而言,该漏洞许可攻击者在受害者的打算机上运行恶意代码,并可能会导致内存透露或运用程序崩溃。
SQLite是一种轻量级数据库,支持Windows、Linux和Unix等主流操作系统,且能够与多种编程措辞(如 Tcl、C#、PHP和Java等)结合利用。比较主流数据库管理系统Mysql和PostgreSQL而言,它的处理速率要更快。
因此,SQLite目前已经被数千款运用程序所采取,不仅包括桌面运用程序,还包括Android和iOS移动运用程序。这也就意味着,这个新的SQLite数据库漏洞的影响范围将极为广泛,特殊是网页浏览器。
根据刀锋团队的说法,只要用户所利用的浏览器(无论是桌面还是移动运用程序)支持SQLite,以及能够将漏洞利用代码转换成常规SQL语法的Web SQL API,攻击者就可以在用户访问网页时对该漏洞进行远程利用。
须要指出的是,Firefox和Edge并不支持这个API,但并不包括基于Chromium的开源浏览器。也便是说,谷歌Chrome、Vivaldi、Opera和Brave都会受到影响。经由测试,在Android 5.1和9上运行的Chrome 70.0.3538.110和在MacOS 10.14上运行的Electron 2.0.12,都会导致一个选项卡/一个窗口崩溃。
如上所述,受影响的不止是网页浏览器,其他运用程序同样也会受到影响。例如,Google Home(一种智能家居设备,可以通过语音掌握家庭设备)便是个中一个例子。刀锋团队在其报告中写道:“是的,我们成功地利用此漏洞攻破了Google Home,目前我们还没有操持表露漏洞利用代码。”
刀锋团队表示,他们在今年秋初就已经向SQLite官方通报了这个问题。在本月1日,SQLite官方也已经通过SQLite 3.26.0发布了补丁,而在上周发布的谷歌Chrome 71也已经修复了该漏洞。
类似Vivaldi和Brave这样的基于Chromium的开源浏览器目前采取的都是最新版本的Chromium,因此最新的版本不会受到影响。但Opera仍在运行老旧版本的Chromium,因此纵然是最新的版本也仍旧会受到影响。虽然并不支持Web SQL,但Firefox也会受到影响,缘故原由在于它附带了一个本地可访问的SQLite数据库,这意味着本地攻击者可以利用此漏洞来实行代码等。
不过,来自网络安全公司Check Point的研究员Eyal Itkin指出,想要成功利用这个漏洞,须要攻击者能够发出任意的SQL指令以毁坏数据库并触发漏洞。因此,实际受影响的运用程序数量相对来说要少得多。
虽然SQLite官方已经发布了补丁,但很多运用程序在今后的几年韶光里仍旧会很随意马虎受到攻击。这是由于升级桌面、移动或网页运用程序的底层数据库引擎是一个繁琐的过程,并且常常会导致数据破坏。因此,大多数运用程序开拓职员都会尽可能推迟更新升级。
也是由于这个缘故原由,刀锋团队表示暂时不会发布任何观点验证漏洞利用代码。只管如此,其他安全研究职员已经开始对SQLite补丁进行逆向工程,以理解该漏洞的事情事理。
目前,此漏洞尚未得到CVE编号,刀锋团队已将其命名为“Magellan”。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
