研究人员发现,广泛为App、Chromium浏览器或IoT装置使用的SQLite数据库,存在一项重大漏洞,可能让黑客远程执行程序代码。Google及SQLite官方已紧急修补漏洞。
SQLite是一开源轻量关系数据库,对操作系统或外部函式库支持的需求很小,因此可广泛用于各种装置或应用,包括物联网装置、Windows、macOS App,如Adobe Flash或Skype,甚至一系列Chromium浏览器,涵括Google Chrome、Opera、Vivaldi、Brave等,也可以经由Web SQL 数据库API支持SQLite。这使得Magellan漏洞可能影响上百万款App,以及不计其数的PC与物联网装置。
在此同时,研究人员已针对Magellan制作出概念验证攻击程序,也已成功入侵Google Home。所幸尚未发现有实际的攻击程序在网络上流行。
目前,相关资安研究人员已经将Magellan通报Google,后者也已紧急修复此漏洞。如果用户用的是Chromium-based浏览器,应升级到71.0.3578.80版。而Google也在本月初,释出最新版Chrome 71。
SQLite官方也已修补了漏洞,并释出更新版3.26.0。