Noll
Ett säkerhetsproblem i den omåttligt populära SQLite-databas motor sätter tusentals av stationära och mobila applikationer på risk.
Upptäckt av Tencent Bladet security team, sårbarhet gör det möjligt för en angripare att köra skadlig kod på offrets dator, och i mindre farliga situationer, läcka programmet minne eller orsaka att program kraschar.
Eftersom SQLite är inbäddade i tusentals appar, sårbarhet effekter ett brett utbud av program, från IoT-enheter till desktop programvara, och från webbläsare till Android-och iOS-appar.
Den dåliga nyheten, enligt Tencent Bladet forskare, är att denna sårbarhet kan utnyttjas på distans genom att få tillgång till något så enkelt som en webbsida, om den underliggande webbläsare stöd för SQLite-och Web SQL-API som översätter exploit-kod i vanliga SQL-syntax.
Firefox och Edge inte har stöd för detta API, men Krom webbläsare med öppen källkod motorn går. Detta innebär att Krom-baserad webbläsare som Google Chrome, Vivaldi, Opera, och Modig, är alla påverkade.
Men samtidigt som webbläsare utgör den största attacken yta, andra appar är också drabbade. För att till exempel Google-Hem är också sårbara.
“Vi lyckas utnyttja Google Hem med denna sårbarhet,” Tencent Blade team sade i ett säkerhetsmeddelande denna vecka.
Tencent Bladet forskare sade att de rapporterade det här problemet till SQLite-laget tidigare i höst. En korrigering har skickats ut på December 1, med lanseringen av SQLite 3.26.0. Fix var också portats inne Krom, och senare i Google Chrome 71, släpptes i förra veckan.
Krom-baserad webbläsare som Vivaldi, Opera och Modig är fortfarande en Krom release bakom, vilket innebär att de är mest sannolikt fortfarande påverkas.
Även om det inte har stöd för Web SQL, Firefox, också påverkas, eftersom det kommer med en lokalt tillgänglig SQLite-databas, vilket innebär att en lokal angripare kunde utnyttja säkerhetsproblemet för att köra kod och mer.
Men även om SQLite-team skickas en fix, många apps är sannolikt att förbli sårbar för många år framöver. Uppdatera den underliggande databasen motor till en stationär, mobil eller webb-app är en farlig process, som ibland kan leda till att data skadas, och de flesta programmerare undvika det så länge som möjligt.
App-utvecklare sällan uppdatera bibliotek och delar av deras program som det är, så chanserna att denna sårbarhet kommer att förfölja app-ekosystem i år är ganska hög.
På grund av denna anledning, Tencent Blade team sa att det skulle avstår för närvarande från att släppa någon proof-of-concept-exploit-kod. Ändå, annan säkerhet forskare har redan börjat kamma SQLite-patch för att dekonstruera det och se hur sårbarheten fungerar under huven.
Detta SQLite sårbarhet har ännu inte fått ett CVE-id-nummer och Tencent forskare använder “Magellan” kodnamn att hänvisa till den för nu.
Mer trygghet:
Facebook bugg exponeras privata bilder på 6,8 miljoner användareSignal: Vi kan inte innehålla en bakdörr i vår app för den Australiska regeringenLogitech app säkerhetsbrist tillåtna tangenttryckning injektion attackerUtpressning e-post redovisade bomb hot orsaka panik över OSSBing rekommenderar piratkopiering handledning när du söker efter Kontor 2019Shamoon skadlig kod förstör data på italienska olja och gas företag somMicrosoft ‘ s Edge för att förvandlas till en Krom-baserad webbläsare TechRepublicMicrosofts ombyggda Kanten kan komma till Xbox CNET
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0