騰訊安全團隊披露SQLite資料庫漏洞,數千款日常必備軟體或受影響
據報導,由騰訊刀鋒安全團隊發現的一個新的SQLite資料庫漏洞可能會影響到數千款常用的桌面和移動應用程式,包括谷歌Chromium瀏覽器。具體而言,該漏洞允許攻擊者在受害者的計算機上執行惡意程式碼,並可能會導致記憶體洩露或應用程式崩潰。
SQLite是一種輕量級資料庫,支援Windows、Linux和Unix等主流作業系統,且能夠與多種程式語言(如 Tcl、C#、PHP和Java等)結合使用。相比主流資料庫管理系統Mysql和PostgreSQL而言,它的處理速度要更快。
因此,SQLite目前已經被數千款應用程式所採用,不僅包括桌面應用程式,還包括Android和iOS移動應用程式。這也就意味著,這個新的SQLite資料庫漏洞的影響範圍將極為廣泛,特別是網頁瀏覽器。
根據刀鋒團隊的說法,只要使用者所使用的瀏覽器(無論是桌面還是移動應用程式)支援SQLite,以及能夠將漏洞利用程式碼轉換成常規SQL語法的Web SQL API,攻擊者就可以在使用者訪問網頁時對該漏洞進行遠端利用。
需要指出的是,Firefox和Edge並不支援這個API,但並不包括基於Chromium的開源瀏覽器。也就是說,谷歌Chrome、Vivaldi、Opera和Brave都會受到影響。經過測試,在Android 5.1和9上執行的Chrome 70.0.3538.110和在MacOS 10.14上執行的Electron 2.0.12,都會導致一個選項卡/一個視窗崩潰。
如上所述,受影響的不止是網頁瀏覽器,其他應用程式同樣也會受到影響。例如,Google Home(一種智慧家居裝置,可以通過語音控制家庭裝置)就是其中一個例子。刀鋒團隊在其報告中寫道:“是的,我們成功地使用此漏洞攻破了Google Home,目前我們還沒有計劃披露漏洞利用程式碼。”
刀鋒團隊表示,他們在今年秋初就已經向SQLite官方通報了這個問題。在本月1日,SQLite官方也已經通過SQLite 3.26.0釋出了補丁,而在上週釋出的谷歌Chrome 71也已經修復了該漏洞。
類似Vivaldi和Brave這樣的基於Chromium的開源瀏覽器目前採用的都是最新版本的Chromium,因此最新的版本不會受到影響。但Opera仍在執行老舊版本的Chromium,因此即使是最新的版本也仍然會受到影響。雖然並不支援Web SQL,但Firefox也會受到影響,原因在於它附帶了一個本地可訪問的SQLite資料庫,這意味著本地攻擊者可以利用此漏洞來執行程式碼等。
不過,來自網路安全公司Check Point的研究員Eyal Itkin指出,想要成功利用這個漏洞,需要攻擊者能夠發出任意的SQL指令以破壞資料庫並觸發漏洞。因此,實際受影響的應用程式數量相對來說要少得多。
雖然SQLite官方已經發布了補丁,但很多應用程式在今後的幾年時間裡仍然會很容易受到攻擊。這是由於升級桌面、移動或網頁應用程式的底層資料庫引擎是一個繁瑣的過程,並且經常會導致資料損壞。因此,大多數應用程式開發人員都會盡可能推遲更新升級。
也是因為這個原因,刀鋒團隊表示暫時不會發布任何概念驗證漏洞利用程式碼。儘管如此,其他安全研究人員已經開始對SQLite補丁進行逆向工程,以瞭解該漏洞的工作原理。
目前,此漏洞尚未獲得CVE編號,刀鋒團隊已將其命名為“Magellan”。
相關文章
- 注意!SQLite被曝漏洞,Chrome 火狐等數千應用或受影響SQLiteChrome
- 數百萬臺操作技術裝置受影響,研究人員披露INFRA:HALT漏洞
- 全球數億物聯網裝置受影響!騰訊報告首個LoRaWAN協議棧通用漏洞協議
- Google Chrome 70即將釋出 數千個網站或因安全證書受影響GoChrome網站
- BIND 9軟體漏洞影響DNS伺服器DNS伺服器
- 黑客利用“Simjacker”漏洞竊取手機資料,或影響十億人黑客
- 美國政府與科技巨頭討論開源軟體安全、近八萬網站受開源軟體漏洞影響|1月18日全球網路安全熱點網站
- SAFe必備——提高團隊敏捷性敏捷
- 匿名人員洩露論壇軟體 vBulletin 零日漏洞,或影響數十億網際網路使用者
- 執行緒數目對資料庫的影響執行緒資料庫
- 谷歌Project Zero團隊調整漏洞披露指南:增加30天緩衝期谷歌Project
- 騰訊安全玄武實驗室披露多個區塊鏈安全漏洞報告區塊鏈
- 騰訊安全團隊深入解析wannacry蠕蟲病毒
- 谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補谷歌微軟資料庫
- SQLPro for SQLite mac 2024.10啟用版 SQLite資料庫管理軟體SQLiteMac資料庫
- 14億Android裝置受Linux TCP漏洞的影響AndroidLinuxTCP
- GoAheadWeb伺服器曝安全漏洞,上萬臺物聯網裝置受影響GoWeb伺服器
- 思科被曝 VPN 高危漏洞,工業安全裝置、防火牆等多款產品受影響防火牆
- 日常工作必備之DHCP入門與安全
- Block披露其影響820萬客戶的資料洩露事件BloC事件
- 騰訊安全推出電腦管家小團隊版,一款軟體搞定中小企業IT運維運維
- 團隊專案必備神器——自定義Lint
- 馬雲“以德服人”阿里團隊指出微信“高危漏洞”助騰訊修改阿里
- 傳統文化研究團隊------軟體工程團隊專案軟體工程
- 最新發現!Windows 11也受本地提權漏洞HiveNightmare影響WindowsHive
- 影響軟體供應鏈安全的10大風險因素
- 主庫resetlogs對備庫的影響
- 軟體效能的設計(三)資料型別對軟體效能的影響 (轉)資料型別
- 勒索軟體攻擊影響
- 資料庫安全漏洞淺析資料庫
- [Sqlite] 使用Java程式、cmd命令列來備份恢復Sqlite資料庫SQLiteJava命令列資料庫
- 資訊洩露、DNS快取中毒!版本低於4.3的NicheStack受高嚴重安全漏洞影響DNS快取
- 7月第4周安全回顧DNS漏洞影響廣泛網路訪問控制受關注DNS
- 電腦中必備的一款軟體——得力資料恢復軟體資料恢復
- 帶團隊後的日常思考(六)
- StrandHogg 2.0 漏洞來襲,超10億臺手機受影響;三星釋出最高階別移動安全晶片;黑客出售多國 SQL 資料庫HOG晶片黑客SQL資料庫
- 微軟登入系統存在漏洞:使用者Office帳號受影響微軟
- 影響資料庫效能與穩定性的幾個重要引數資料庫