腾讯团队发现了SQLite的漏洞:或者影响成千上万的应用程序,比如Chrome|Chrome|Ten.|SQLite_Sina Technologies。

发布日期:2019-09-26

    根据ZDNet的说法,腾讯刀片安全小组发现了一个SQLite漏洞,该漏洞可能允许黑客在受害者的计算机上远程运行恶意代码,并导致程序内存泄漏或程序崩溃。因为SQLite嵌入到数千个应用程序中,所以此漏洞可能影响许多软件应用程序,从物联网设备和桌面软件到Web浏览器、Android和iOS应用程序。只要浏览器支持SQLite和Web SQL API,从而将破解代码转换为常规的SQL语法,黑客就可以在用户访问网页时使用它。Firefox和Edge不支持这个API,但是基于Chromium的开源浏览器支持它。也就是说,谷歌Chrome、维瓦尔迪、歌剧和勇敢都会受到影响。不仅网络浏览器会受到攻击,其他应用程序也会受到影响。例如,Google Home面临安全威胁。腾讯刀锋团队在本周的报告中写道:“我们已经成功地利用了Google Home的这个漏洞。”腾讯刀锋的研究人员说,他们已经在今年秋天早些时候向SQLite团队报告了这个问题,并在12月1日通过SQLite 3.26.0发送了一个补丁。上周发布的Google Chrome 71也弥补了这个漏洞。基于Chromium的Vivaldi和Brave浏览器使用最新版本的Chromium,但是Opera仍然运行较老版本的Chromium,因此仍然会受到影响。虽然不支持Web SQL,但是Firefox也受到此漏洞的影响,因为它们使用本地可访问的SQL Lite数据库,所以本地攻击者可以使用这个漏洞来执行代码。Check Point的研究人员Eyal Itkin还指出,该漏洞还需要攻击者发布任意的SQL指令,从而破坏数据库并触发漏洞,从而大大减少了受影响的漏洞的数量。但是,即使SQLite团队发布了补丁,许多应用程序在未来几年仍将面临威胁。原因是升级所有桌面、移动或Web应用程序的底层数据库引擎是一个危险的过程,常常导致数据损坏,因此大多数程序员都尽可能地延迟它。这就是为什么腾讯刀锋的团队在发布概念验证攻击代码时尽可能谨慎的原因。(Book Yu)

, 1, 0, 1);