数百万APP安全出问题 SQLite数据库出现巨大漏洞

最新推荐文章于 2022-10-06 14:40:43 发布
最新推荐文章于 2022-10-06 14:40:43 发布
阅读量640 收藏 1
点赞数
文章标签: 数据库 嵌入式 操作系统
原文链接:https://juejin.im/post/5c18a0a9f265da61736a37cd
版权

研究人员发现,广泛为App、Chromium浏览器或IoT装置使用的SQLite数据库,存在一项重大漏洞,可能让黑客远程执行程序代码。Google及SQLite官方已紧急修补漏洞。

文章转自: SBF胜博发 首先发现这只漏洞的腾讯旗下Blade安全研究部门将之命名为Magellan(麦哲伦)。基于SQLite应用范围之广泛,并未透露漏洞的技术细节,但表示该漏洞可以诱使用户以浏览器造访特定网页而远程触发,导致程序代码执行、应用程序内存泄露或让App当掉。

SQLite是一开源轻量关系数据库,对操作系统或外部函式库支持的需求很小,因此可广泛用于各种装置或应用,包括物联网装置、Windows、macOS App,如Adobe Flash或Skype,甚至一系列Chromium浏览器,涵括Google Chrome、Opera、Vivaldi、Brave等,也可以经由Web SQL 数据库API支持SQLite。这使得Magellan漏洞可能影响上百万款App,以及不计其数的PC与物联网装置。

在此同时,研究人员已针对Magellan制作出概念验证攻击程序,也已成功入侵Google Home。所幸尚未发现有实际的攻击程序在网络上流行。

目前,相关资安研究人员已经将Magellan通报Google,后者也已紧急修复此漏洞。如果用户用的是Chromium-based浏览器,应升级到71.0.3578.80版。而Google也在本月初,释出最新版Chrome 71。

SQLite官方也已修补了漏洞,并释出更新版3.26.0。

转载于:https://juejin.im/post/5c18a0a9f265da61736a37cd

weixin_34234721
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[老文章]SQLite数据库安全
robin622的专栏
03-03 1084
相信使用PHP开发的人员一定不会对SQLite感到陌生了,PHP5已经集成了这个轻量型的数据库SQLite�任何限制的授权协议以及支持大部分标准的SQL 92语句,相信会有越来越多的人使用这个数据库。作为WEB开发而言,PHP与SQLite的结合就如同当年的ASP与ACCESS结合一样,ACCESS可以遭遇被人下载,SQLite同样不能幸免,毕竟SQLite也是一个二进制文件,只要WEB能访问到
android 漏洞库,android系统sqlite数据库注入漏洞
weixin_42116734的博客
05-27 352
漏洞概要缺陷编号:WooYun-2012-04550漏洞标题:android系统sqlite数据库注入漏洞相关厂商:android漏洞作者:冷森提交时间:2012-02-15 18:44公开时间:2012-02-15 18:44漏洞类型:设计错误/逻辑缺陷危害等级:中自评Rank:5漏洞状态:未联系到厂商或者厂商积极忽略Tags标签:漏洞详情披露状态:2012-02-15: 积极联系厂商并且等待厂...
SQLite数据库安全
乱炖
09-13 2082
相信使用PHP开发的人员一定不会对SQLite感到陌生了,PHP5已经集成了这个轻量型的数据库SQLite无任何限制的授权协议以及支持大部分标准的SQL 92语句,相信会有越来越多的人使用这个数据库。作为WEB开发而言,PHP与SQLite的结合就如同当年的ASP与ACCESS结合一样,ACCESS可以遭遇被人下载,SQLite同样不能幸免,毕竟SQLite也是一个二进制文件,只要WEB能访问到
iOS开发之SQLite安全问题解析之SQLite的锁机制和WAL技术
zhonggaorong的专栏
08-11 2607
锁机制 SQLite基于锁来实现并发控制。SQLite的锁是粗粒度的,并不拥有PostgreSQL那样细粒度的行锁,这也使得SQLite较为轻量级。当一个连接要写数据库时,所有其它的连接都被锁住,直到写连接结束它的事务。 SQLite数据库连接有5种状态: 状态 对应的锁 未加锁 — 共享(shared) 共享锁 
Android Sqlite 漏洞
梦翼-的博客
02-16 653
Android 版本在2.3.7和4.0.1之间有个sqlite漏洞,这个漏洞会导致任何第三方应用可以访问/data/data//databases/文件,这样就能读取你的私密数据,特别里面如果有密码什么的,读取方法如下: public class SqliteJournalLeakActivity extends Activity { @Override protec
保护你的Sqlite数据库(SQLite数据库安全秘籍)
09-11
然而,正如标题和描述中提到的,SQLite数据库安全问题不容忽视,特别是当它们与PHP等Web语言结合使用时。 防止SQLite数据库被非法下载是确保数据安全的关键步骤。以下是一些实用的方法: 1. **改变数据库存储...
uni-appsqlite数据库本地缓存
05-12
使用sqlite数据库本地缓存
iOS App项目中引入SQLite数据库的教程
09-02
以下是一个详细的教程,介绍如何在iOS App项目中引入SQLite数据库。 首先,SQLite是用C语言编写的,因此它具有跨平台的特性,不仅能在iOS上运行,也能在Android或其他操作系统上运行。尽管iOS和Android都提供了封装...
Android中SQLite数据库查看工具
最新发布
05-07
SQLite是一个进程内的库,实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。它是一个零配置的数据库,这意味着与其他数据库不一样,您不需要在系统中配置。 就像其他数据库SQLite 引擎不是一个...
sqlite性能、安全
wwyyxx26的专栏
02-21 3547
sqlite默认是事务的 单一一条事务插入在100ms左右 sqlite3_exec(devDB, "BEGIN", 0, 0, &szError); sqlite3_exec(devDB, "COMMIT", 0, 0, &szError);处理批量的性能很好 sqlite3_busy_timeout的存在时为了防止不同的连接实例间的锁定问题(系统级的文件锁),同一实例可
腾讯安全团队披露SQLite数据库漏洞,数千款日常必备软件或受影响
mozhe_的博客
12-18 460
据报道,由腾讯刀锋安全团队发现的一个新的SQLite数据库漏洞可能会影响到数千款常用的桌面和移动应用程序,包括谷歌Chromium浏览器。具体而言,该漏洞允许攻击者在受害者的计算机上运行恶意代码,并可能会导致内存泄露或应用程序崩溃。 SQLite是一种轻量级数据库,支持Windows、Linux和Unix等主流操作系统,且能够与多种编程语言(如 Tcl、C#、PHP和Java等)结合使用。相比主...
sqlite3安全性研究
Tesi1a的充电桩
05-19 3126
SQLite安全现状 SQLite是遵守ACID的关系数据库管理系统,实现了大多数SQL标准。它使用动态的、弱类型的SQL语法,包含在一个相对小的C库中。作为一款嵌入式数据库,它因占用的资源非常低,数据处理速度快等优点被Andriod、iOS、WebKit等流行软件采用。 2017年Black大会上来自长亭科技的议题介绍了基于Memory Corruption的SQLite漏洞。基于该漏洞,可以攻...
SQLite漏洞!所有Chromium浏览器中招,安卓iOS应用也受殃及
量子位
12-17 477
允中 发自 凹非寺 量子位 报道 | 公众号 QbitAI一个SQLite大bug,影响之大、范围之广,不容小觑。今天,腾讯Blade安全团队发现的SQLite漏洞披露,...
SQLite 被曝存在漏洞,数千应用受影响
CSDN资讯
12-17 1557
SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器。据 ZDNet 报导,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在...
网址或者app被入侵了怎么办?
weixin_67757219的博客
03-14 635
流量攻击,就是我们常说的DDOS和DOS等攻击,这种攻击属于最常见的流量攻击中的带宽攻击,一般是使用大量数据包淹没一个或多个路由器、服务器和防火墙,使你的网站处于瘫痪状态无法正常打开。但是这种攻击成本都会很高. 2, CC攻击,也是流量攻击的一种,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。而CC攻击基本上都是针对端口的攻击,以上这两
SQL手工注入漏洞测试(SQLite数据库)
weixin_47493074的博客
10-06 689
SQL手工注入漏洞测试(SQLite数据库)
CVE-2019-5018:Sqlite3 远程代码执行漏洞
systemino的博客
05-14 950
研究人员发现在Sqlite3 3.26.0的Windows函数功能中存在UAF漏洞。通过特殊伪造的SQL命令可以产生该UAF漏洞,导致远程代码执行。攻击者可以发送恶意SQL命令来触发该漏洞。 研究人员在SQLite 3.26.0和3.27.0版本上进行了测试。 CVSSv3评分为8.1分,漏洞类型为UAF。 漏洞详情 SQLite是实现SQL数据库引擎的常用库函数,被广泛应用于移动设备、浏...
墨者学院 - SQL手工注入漏洞测试(SQLite数据库)
多崎巡礼的博客
08-20 1690
  网站公告存在注入点   ip/new_list.php?id=1 and 1=2 union select 1,name,sql,4 from sqlite_master limit 0,1 ip/new_list.php?id=1 and 1=2 union select 1,name,password,4 from WSTMart_reg      ...
Android记单词APP:实战SQLite数据库与界面设计
项目目标是巩固界面设计...通过这个记单词APP的开发,学生深化了对Android开发的理解,掌握了关键的UI设计原则,控件运用,以及数据库操作(这里提到的sqlite数据库),为他们在Android领域的发展奠定了坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值