Nul
Een beveiligingslek in de enorm populaire SQLite-database-engine brengt duizenden desktop-en mobiele applicaties in gevaar.
Ontdekt door Tencent ‘s Blade security team, de kwetsbaarheid kan een aanvaller kwaadaardige code uitvoeren op de computer van het slachtoffer, en in minder gevaarlijke situaties, lek programma memory of leiden tot vastlopen van programma’ s.
Omdat SQLite is ingebed in duizenden apps, de kwetsbaarheid, impact van een breed scala van software, van de IoT-apparaten desktop software, en van webbrowsers voor Android en iOS apps.
Het slechte nieuws is, volgens Tencent Mes onderzoekers, is dat dit beveiligings lek kan ook misbruikt worden op afstand door de toegang tot iets eenvoudigs als een web pagina, als de onderliggende browser ondersteuning van SQLite en de Web SQL API dat betekent dat de exploit code in de SQL-syntaxis.
Firefox en Rand niet ondersteunen deze API, maar het Chroom open-source browser-engine heeft. Dit betekent dat Chroom-gebaseerde browsers, zoals Google Chrome, Vivaldi, Opera, en Moedig, zijn alle getroffen.
Maar terwijl web browsers vormen de grootste aanval oppervlak, andere apps zijn ook getroffen. Bijvoorbeeld, Google Startpagina is ook kwetsbaar.
“Wij hebben met succes geëxploiteerd Google Startpagina met dit beveiligingslek,” de Tencent Blade team zei in een security advisory deze week.
Tencent Mes onderzoekers zeiden dat ze gemeld dat dit probleem met de SQLite team eerder dit najaar. Een oplossing is verzonden op 1 December, met de release van SQLite 3.26.0. De oplossing werd ook meegenomen in Chroom, en later in Google Chrome 71, bracht vorig week.
Chroom-gebaseerde browsers zoals Vivaldi, Opera, en Dapper zijn nog steeds een Chroom release achter, waardoor ze waarschijnlijk nog steeds beïnvloed.
Hoewel het niet op het Web SQL, Firefox, ook wordt beïnvloed, omdat het wordt geleverd met een lokaal toegankelijk SQLite database, de betekenis van een lokale aanvaller kan misbruik van deze kwetsbaarheid om code uit te voeren en meer.
Maar zelfs als de SQLite team geleverd door een correctie te veel apps zijn waarschijnlijk kwetsbaar blijven voor de komende jaren. Het bijwerken van de onderliggende database-engine voor elke desktop, mobiel of web app is een gevaarlijk proces, dat soms kan leiden tot beschadiging van de gegevens, en de meeste programmeurs vermijden dat zo lang mogelijk.
App-ontwikkelaars zelden update bibliotheken en de onderdelen van hun apps zoals het is, dus de kans dat deze kwetsbaarheid zal het achtervolgen van de app-ecosysteem voor jaar is vrij hoog.
Omwille van deze reden, de Tencent Blade team zei dat het zou afzien voor het moment van het loslaten van een proof-of-concept exploit code. Toch, andere security-onderzoekers zijn al begonnen met het uitkammen van de SQLite patch te reverse-engineeren en te zien hoe de kwetsbaarheid werkt onder de motorkap.
Dit SQLite kwetsbaarheid nog niet heeft ontvangen een CVE-nummer en Tencent onderzoekers gebruiken de “Magellan” codename om te verwijzen naar het voor nu.
Meer zekerheid:
Facebook bug blootgesteld eigen foto ‘s van 6,8 miljoen gebruikersSignaal: We kunnen niet voorzien van een backdoor in onze app voor de Australische regeringLogitech app lek toegestaan toetsaanslag injectie aanvallenAfpersing e-mails dragen bom bedreigingen veroorzaken paniek in de VSBing raadt piraterij tutorial bij het zoeken naar Office-2019Shamoon malware vernietigt gegevens op de italiaanse olie-en gasbedrijfvan Microsoft’ s Edge te veranderen in een Chroom-gebaseerde browser TechRepublicMicrosoft herbouwd Rand kunnen komen voor de Xbox Één CNET
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters
0