Zero
Una vulnerabilità di sicurezza nel popolare motore di database SQLite mette a migliaia di applicazioni desktop e mobile a rischio.
Scoperto da Tencent Lama del team di sicurezza, la vulnerabilità consente a un utente malintenzionato di eseguire codice dannoso sul computer della vittima, e in meno di situazioni di pericolo, perdita di memoria di programma o causare crash del programma.
Perché SQLite è incorporato in migliaia di applicazioni, la vulnerabilità impatto di una vasta gamma di software, da IoT dispositivi di software desktop e web browser per Android e iOS apps.
La cattiva notizia, secondo Tencent Lama ricercatori, è che questa vulnerabilità può essere sfruttata da remoto accedendo qualcosa di semplice come una pagina web, se il sottostante supporto del browser, SQLite e Web API SQL che traduce il codice di exploit nel regolare la sintassi SQL.
Firefox e Edge non supporta l’API, ma il Cromo browser open-source engine. Questo significa che Chromium-browser come Google Chrome, Vivaldi, Opera, e Coraggioso, sono tutti interessati.
Ma mentre i browser web rappresenterà la maggiore superficie di attacco, altre app sono anche colpiti. Per esempio, la Home page di Google è anche vulnerabile.
“Abbiamo sfruttato con successo la Home page di Google con questa vulnerabilità,” Tencent Blade team, ha detto in un avviso di sicurezza di questa settimana.
Tencent Lama ricercatori hanno detto che hanno segnalato questo problema per SQLite squadra all’inizio di questo autunno. Una correzione è stato spedito il 1 dicembre, con la versione di SQLite 3.26.0. Il fix è stato anche portato all’interno di Cromo, e più tardi in Google Chrome 71, rilasciato la settimana scorsa.
Chromium-browser come Vivaldi, Opera, Coraggioso e sono ancora uno di Cromo a rilascio dietro, nel senso che è più probabile che ancora interessato.
Mentre non supporta il Web, SQL, Firefox, troppo, è interessato, in quanto si tratta con un locale accessibile database SQLite, il che significa un utente malintenzionato potrebbe abusare di questa vulnerabilità per eseguire codice e di più.
Ma anche se SQLite team ha spedito una correzione, molte app sono probabilità di rimanere vulnerabili per gli anni a venire. L’aggiornamento del motore di database sottostante a qualsiasi desktop, mobile o web app è un processo pericoloso, che a volte può causare il danneggiamento dei dati, e la maggior parte dei programmatori di evitare quanto più a lungo possibile.
Gli sviluppatori di App raramente aggiornare le librerie e i componenti delle loro applicazioni, per cui le probabilità che questa vulnerabilità ritrovo l’app ecosistema per anni è abbastanza alta.
A causa di questo motivo, Tencent Blade team ha detto di voler rinunciare, per il momento, da rilasciare qualsiasi prova-del-concetto di codice di exploit. Tuttavia, altri ricercatori di sicurezza hanno già iniziato la pettinatura SQLite patch per decodificare e vedere come funziona la vulnerabilità sotto il cofano.
Questo SQLite vulnerabilità non ha ancora ricevuto un CVE numero di identificazione e di Tencent i ricercatori stanno utilizzando la “Magellan” nome in codice per riferirsi ad esso per ora.
Più copertura di sicurezza:
Facebook bug esposto le foto private di 6,8 milioni di utentiSegnale: non Siamo in grado di includere una backdoor nel nostro app per il governo AustralianoLogitech app falla di sicurezza ha permesso di battitura iniezione di attacchi diEstorsione le e-mail contenenti minacce terroristiche causare il panico in tutti gli stati UNITIBing consiglia di pirateria esercitazione durante la ricerca per l’Ufficio 2019Shamoon malware distrugge i dati italiani della compagnia petrolifera e del gasMicrosoft Bordo di trasformarsi in un browser basato su chrome TechRepublicMicrosoft ricostruito Edge può venire a Xbox One CNET
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0