SQLite漏洞将使数以百万计的应用程序受到黑客攻击

网络安全研究人员发现了被广泛使用的SQLite数据库软件中的一个关键漏洞，该漏洞可能会暴露数十亿的数据库信息给黑客。

腾讯安全Blade团队称之为“ Magellan ”，新发现的SQLite漏洞可能允许远程攻击者在受影响的设备上执行任意恶意代码，使程序内存溢出或使应用程序崩溃。

SQLite是一 种轻量级，被广泛使用的基于磁盘的关系型数据库管理系统，它占用较低的操作系统或外部磁盘，因此几乎兼容所有设备，开发平台和编程语言。

SQLite是目前世界上部署最广泛的数据库引擎，数百万个应用程序基于SQLite数据库来运作，包括物联网设备，macOS和Windows应用程序，包括主要的Web浏览器，如Adobe软件，Skype等。

由于基于Chromium的网络浏览器（包括Google Chrome，Opera，Vivaldi和Brave）也通过被放弃使用的Web SQL数据库API来支持SQLite ，因此远程攻击者只需通过钓鱼方式使他们访问一个特制的网站，就可轻松定位到使用受影响浏览器的用户。

研究人员在一篇博客文章中说：“在测试Chromium之后，谷歌也已经确认并修复了这个漏洞。”

在收到研究人员的负责任的披露通知后， SQLite官方发布了其软件的更新版本3.26.0以解决该问题。

谷歌同样也发布了Chromium 71.0.3578.80版本来修补该问题，并将修补后的版本推送到最新版本的谷歌浏览器和Brave网络浏览器。

腾讯的研究人员表示，他们成功的利用Magellan漏洞构建了POC，并完成对谷歌主页的攻击测试。

由于大多数应用程序无法在短时间内修补，因此研究人员决定不向公众披露技术细节和POC漏洞验证代码。

“我们目前不会透露任何有关此漏洞的细节，我们正在敦促其他供应商尽快修复此漏洞，”研究人员表示。

由于SQLite被几乎每一个浏览器厂商包括Adobe，Apple，Dropbox，Firefox，Android，Chrome，Microsoft和其他软件所使用，因此即使Magellan漏洞尚未在外界被黑客利用，它仍然是一个值得注意的问题。

强烈建议用户和管理员尽快将其系统和受影响的软件版本更新到最新版本。

敬请期待更多相关信息。

                                                                                    2018年12月15日

                                                                                 翻译：BlackCicada

原文来自：baaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9r3g2Z5j5h3y4C8k6i4u0F1k6i4N6K6i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9I4z5q4)9J5c8U0p5J5i4K6u0r3M7%4q4D9K9i4c8W2i4K6u0V1N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1P5g2)9J5k6h3S2@1L8h3H3`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课