SQLite 被曝存在漏洞,数千应用受影响

最新推荐文章于 2022-10-06 14:40:43 发布
最新推荐文章于 2022-10-06 14:40:43 发布
阅读量1.5k 收藏
点赞数

640?wx_fmt=gif

640?wx_fmt=jpeg

SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器。

据 ZDNet 报导,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码,并在危险较小的情况下泄漏程序内存或导致程序崩溃。由于 SQLite 嵌入在数千个应用程序中,因此该漏洞会影响各种软件,包括物联网设备、桌面软件、Web 浏览器、Android 与 iOS 应用。

如果底层浏览器支持 SQLite 和 Web SQL API,那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API,这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响,而 Firefox 和 Edge 由于不支持此 API,因此不受影响。

腾讯 Blade  研究人员表示,他们在今年秋季早些时候向 SQLite 团队报告了此问题,SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题,但是 Opera 的 Chromium 版本还没有更新,这意味着它很可能还会受到影响。

另一方面,虽然 Firefox 不支持 Web SQL API,不会受到远程利用攻击,但是其自带了一个本地可访问的 SQLite 数据库,这意味着本地攻击者可能利用此漏洞来执行代码。

ZDNet 表示,由于开发者很少更新代码库及其应用的组件部分,因此很可能这个漏洞在接下来几年内还会持续产生影响,因此,腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。

本文经授权转载自开源中国。


推荐阅读:

640?wx_fmt=gif

640?wx_fmt=png 640?wx_fmt=gif

点击“阅读原文”,打开 APP 阅读更顺畅!

CSDN资讯
关注
Web暴力破解及SQL注入
ClearLove的博客
08-09 9635
《Web暴力破解及SQL注入》作业 课程名称:《Web安全(二)》 作业内容: 已知owasp服务器内的网站用户名为:gordonb 密码为6位,前三位为‘abc’后三位为数字,对其进行爆破得到正确的密码并验证。 使用SQLmap对该网站的前3个SQL注入案例进行SQL注入,将用户名和密码展示出一张表,实现拖库操作。 【要求】 ...
红队眼中主要的安全防御能力怎样突破
最新发布
maoguan121的博客
10-13 5483
蓝队作为实战攻防演练中的攻击方,根据队员的不同攻击能力特 点组织攻击团队。队员们在网络攻击各阶段各司其职,采用适当的攻 击手段和攻击策略对目标系统展开网络攻击,最终获取目标网络和系 统的控制权限和数据,检验目标单位的网络安全防护能力。本部分主要站在蓝队的角度,讲述网络实战攻防演练中攻击阶段 的划分、各阶段主要工作内容、攻击中主要使用的技术手段以及攻方 人员必备的技能,最后通过多个实战案例对攻击手段进行了直观展 示。
CVE-2019-5018:Sqlite3 远程代码执行漏洞
systemino的博客
05-14 961
研究人员发现在Sqlite3 3.26.0的Windows函数功能中存在UAF漏洞。通过特殊伪造的SQL命令可以产生该UAF漏洞,导致远程代码执行。攻击者可以发送恶意SQL命令来触发该漏洞。 研究人员在SQLite 3.26.0和3.27.0版本上进行了测试。 CVSSv3评分为8.1分,漏洞类型为UAF。 漏洞详情 SQLite是实现SQL数据库引擎的常用库函数,被广泛应用于移动设备、浏...
腾讯安全团队披露SQLite数据库漏洞数千款日常必备软件或影响
mozhe_的博客
12-18 467
据报道,由腾讯刀锋安全团队发现的一个新的SQLite数据库漏洞可能会影响数千款常用的桌面和移动应用程序,包括谷歌Chromium浏览器。具体而言,该漏洞允许攻击者在害者的计算机上运行恶意代码,并可能会导致内存泄露或应用程序崩溃。 SQLite是一种轻量级数据库,支持Windows、Linux和Unix等主流操作系统,且能够与多种编程语言(如 Tcl、C#、PHP和Java等)结合使用。相比主...
SQLite漏洞!所有Chromium浏览器中招,安卓iOS应用殃及
量子位
12-17 486
允中 发自 凹非寺 量子位 报道 | 公众号 QbitAI一个SQLite大bug,影响之大、范围之广,不容小觑。今天,腾讯Blade安全团队发现的SQLite漏洞披露,...
Android Sqlite 漏洞
梦翼-的博客
02-16 661
Android 版本在2.3.7和4.0.1之间有个sqlite漏洞,这个漏洞会导致任何第三方应用可以访问/data/data//databases/文件,这样就能读取你的私密数据,特别里面如果有密码什么的,读取方法如下: public class SqliteJournalLeakActivity extends Activity { @Override protec
SQL手工注入漏洞测试(SQLite数据库)
weixin_47493074的博客
10-06 735
SQL手工注入漏洞测试(SQLite数据库)
2.SDL规范文档
weixin_30872337的博客
02-27 2283
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
python access 源码_python连接access数据库
weixin_39829236的博客
12-22 494
Python数据库相关(SQLServer/sqlite/MySQL/access)1、用pymssql连接SQL Server。1)、pymssql的pypi地址:https://pypi.python.org/pypi/pymssql。2)、pymssql官网:http://pymssql.org/。3)、python 使用pymssql连接sql server...文章科技探索者2017-...
kali视频学习笔记
cj1064789374的博客
08-29 2989
kali学习笔记
Android解决数据库注入漏洞风险的demo
04-06
一个Android的demo工程,演示了如何解决数据库注入漏洞问题。 针对3种查询:rawQuery,query,以及LitePal的查询。 更详细的说明,参见相关博客文章:https://blog.csdn.net/lintax/article/details/79831376
注意!SQLite漏洞,Chrome 火狐等数千应用影响
weixin_33674976的博客
12-17 206
近日,腾讯 Blade 安全团队发现SQLite存在一个影响数千应用漏洞应用包括所有基于 Chromium 的浏览器。该漏洞允许攻击者在害者的计算机上运行恶...
数百万APP安全出问题 SQLite数据库出现巨大漏洞
weixin_34234721的博客
12-18 652
研究人员发现,广泛为App、Chromium浏览器或IoT装置使用的SQLite数据库,存在一项重大漏洞,可能让黑客远程执行程序代码。Google及SQLite官方已紧急修补漏洞。 文章转自:SBF胜博发 首先发现这只漏洞的腾讯旗下Blade安全研究部门将之命名为Magellan(麦哲伦)。基于SQLite应用范围之广泛,并未透露漏洞的技术细节,但表示该漏洞可以诱使用户以浏览器造访特定网页而远程...
sqlite3安全性研究
Tesi1a的充电桩
05-19 3149
SQLite安全现状 SQLite是遵守ACID的关系数据库管理系统,实现了大多数SQL标准。它使用动态的、弱类型的SQL语法,包含在一个相对小的C库中。作为一款嵌入式数据库,它因占用的资源非常低,数据处理速度快等优点被Andriod、iOS、WebKit等流行软件采用。 2017年Black大会上来自长亭科技的议题介绍了基于Memory Corruption的SQLite漏洞。基于该漏洞,可以攻...
墨者学院 - SQL手工注入漏洞测试(SQLite数据库)
多崎巡礼的博客
08-20 1719
  网站公告存在注入点   ip/new_list.php?id=1 and 1=2 union select 1,name,sql,4 from sqlite_master limit 0,1 ip/new_list.php?id=1 and 1=2 union select 1,name,password,4 from WSTMart_reg      ...
android 漏洞库,android系统sqlite数据库注入漏洞
weixin_42116734的博客
05-27 362
漏洞概要缺陷编号:WooYun-2012-04550漏洞标题:android系统sqlite数据库注入漏洞相关厂商:android漏洞作者:冷森提交时间:2012-02-15 18:44公开时间:2012-02-15 18:44漏洞类型:设计错误/逻辑缺陷危害等级:中自评Rank:5漏洞状态:未联系到厂商或者厂商积极忽略Tags标签:漏洞详情披露状态:2012-02-15: 积极联系厂商并且等待厂...
SQL返回影响行数
热门推荐
景韦的专栏
08-30 1万+
ExecuteNonQuery()可以返回delete,insert,update操作影响的行数 如果执行存储过程ExecuteNonQuery()一直返回-1,应检查存储过程中的是否有SET NOCOUNT ON,这句话会阻止返回计数,以减少网络开支,若需要返回值则可屏蔽这句话,或者改为SET NOCOUNT OFF,也可以通过return @@ROWCOUNT来获取影响行数
sqlite3 内存持续增加_sqlite3 内存泄漏问题
weixin_31141099的博客
01-14 908
.版本 2.支持库 sqlite3.支持库 iext.支持库 spec.子程序 采集数据刷新, 整数型.局部变量 数据库, Sqlite数据库.局部变量 记录集, Sqlite记录集.局部变量 总记录, 整数型.局部变量 总页码, 整数型.局部变量 当前页, 整数型.局部变量 页码长, 整数型.局部变量 局_计次, 整数型.局部变量 局_表项, 整数型.局部变量 局_临时, 文本型.如果真 (窗口...
VS2013 MFC与SQLite3集成教程:创建数据库应用
"这篇教程详细介绍了如何在Windows 7环境下使用Visual Studio 2013 (VS2013) 和MFC (Microsoft Foundation Classes) 集成SQLite3数据库进行应用程序开发。教程中提到了关键步骤,包括工程创建、界面设计以及与SQLite...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值