SQLite 被曝RCE漏洞 Chrome 等数百万应用受影响

作者：Swati Khandelwal

编译：360代码卫士团队

研究人员在使用广泛的 SQLite 数据库软件中发现了一个严重的漏洞，导致数十亿部署易受黑客攻击。

这个 SQLite 新缺陷被腾讯 Blade 团队称为“Magellan”，可导致远程攻击者在受影响设备上执行任意或恶意代码，泄露程序内存或导致应用崩溃。

SQLite 是一款使用广泛的轻量级磁盘关联数据库管理系统，要求操作系统或外部库提供最小支持，因此几乎和所有设备、平台以及编程语言都是可兼容的。

SQLite 是目前全球使用最广泛的数据库引擎，由数百万应用程序部署数十亿次，包括物联网设备、macOS 和 Windows 应用程序，包括主流 web 浏览器如 Adobe 软件、Skype 等。

由于基于 Chromium 的 web 浏览器如谷歌 Chrome、Opera、Vivaldi 和 Brave 也通过降级的 Web SQL 数据库 API 支持 SQLite，因此远程攻击者能轻易通过说服受影响浏览器用户访问特殊构造的网页实施攻击。

SQLite 收到研究人员的通知后，已发布软件版本 3.26.0 修复了该漏洞。

谷歌已发布 Chromium 版本71.0.3578.80 修复该漏洞，并向最新的谷歌 Chrome 和 Brave 浏览器推送已修复版本。

研究人员表示已经使用 Magellan 漏洞成功构建 PoC 代码并成功在谷歌 Home 上测试了利用代码。

由于多数应用程序不会很快得到修复，因此研究人员决定不公开 PoC 和技术详情。

由于所有软件都在使用 SQLite，如 Adobe、苹果、Dropbox、火狐、安卓、Chrome、微软等，因此 Magellan 漏洞是一个值得注意的问题，即使它尚未被在野利用。

强烈建议用户和管理员尽快更新系统和受影响的软件版本。

我们将持续关注事态进展。

原文链接

https://thehackernews.com/2018/12/sqlite-vulnerability.html

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士 www.codesafe.cn”。