据报道,由腾讯刀锋安全团队发现的一个新的SQLite数据库漏洞可能会影响到数千款常用的桌面和移动应用程序,包括谷歌Chromium浏览器。具体而言,该漏洞允许攻击者在受害者的计算机上运行恶意代码,并可能会导致内存泄露或应用程序崩溃。
SQLite是一种轻量级数据库,支持Windows、Linux和Unix等主流操作系统,且能够与多种编程语言(如 Tcl、C#、PHP和Java等)结合使用。相比主流数据库管理系统Mysql和PostgreSQL而言,它的处理速度要更快。
因此,SQLite目前已经被数千款应用程序所采用,不仅包括桌面应用程序,还包括Android和iOS移动应用程序。这也就意味着,这个新的SQLite数据库漏洞的影响范围将极为广泛,特别是网页浏览器。
根据刀锋团队的说法,只要用户所使用的浏览器(无论是桌面还是移动应用程序)支持SQLite,以及能够将漏洞利用代码转换成常规SQL语法的Web SQL API,攻击者就可以在用户访问网页时对该漏洞进行远程利用。
需要指出的是,Firefox和Edge并不支持这个API,但并不包括基于Chromium的开源浏览器。也就是说,谷歌Chrome、Vivaldi、Opera和Brave都会受到影响。经过测试,在Android 5.1和9上运行的Chrome 70.0.3538.110和在MacOS 10.14上运行的Electron 2.0.12,都会导致一个选项卡/一个窗口崩溃。
如上所述,受影响的不止是网页浏览器,其他应用程序同样也会受到影响。例如,Google Home(一种智能家居设备,可以通过语音控制家庭设备)就是其中一个例子。刀锋团队在其报告中写道:“是的,我们成功地使用此漏洞攻破了Google Home,目前我们还没有计划披露漏洞利用代码。”
刀锋团队表示,他们在今年秋初就已经向SQLite官方通报了这个问题。在本月1日,SQLite官方也已经通过SQLite 3.26.0发布了补丁,而在上周发布的谷歌Chrome 71也已经修复了该漏洞。
类似Vivaldi和Brave这样的基于Chromium的开源浏览器目前采用的都是最新版本的Chromium,因此最新的版本不会受到影响。但Opera仍在运行老旧版本的Chromium,因此即使是最新的版本也仍然会受到影响。虽然并不支持Web SQL,但Firefox也会受到影响,原因在于它附带了一个本地可访问的SQLite数据库,这意味着本地攻击者可以利用此漏洞来执行代码等。
不过,来自网络安全公司Check Point的研究员Eyal Itkin指出,想要成功利用这个漏洞,需要攻击者能够发出任意的SQL指令以破坏数据库并触发漏洞。因此,实际受影响的应用程序数量相对来说要少得多。
虽然SQLite官方已经发布了补丁,但很多应用程序在今后的几年时间里仍然会很容易受到攻击。这是由于升级桌面、移动或网页应用程序的底层数据库引擎是一个繁琐的过程,并且经常会导致数据损坏。因此,大多数应用程序开发人员都会尽可能推迟更新升级。
也是因为这个原因,刀锋团队表示暂时不会发布任何概念验证漏洞利用代码。尽管如此,其他安全研究人员已经开始对SQLite补丁进行逆向工程,以了解该漏洞的工作原理。
目前,此漏洞尚未获得CVE编号,刀锋团队已将其命名为“Magellan”。
1690
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
