Nul
En sikkerhedsbrist i den massivt populære SQLite-database engine sætter tusindvis af stationære og mobile applikationer i fare.
Opdaget af Tencent Blade security team, sårbarheden gjorde det muligt for en hacker at afvikle skadelig kode på offerets computer, og i mindre farlige situationer, lækage program hukommelse eller medføre, at programmet går ned.
Fordi SQLite er indlejret i tusindvis af apps, den sårbarhed, som påvirker en bred vifte af software fra IoT-enheder til desktop-software, og fra web-browsere til Android-og iOS-apps.
Den dårlige nyhed er, ifølge Tencent Blade forskere, er, at denne sårbarhed kan også udnyttes på afstand ved at få adgang til noget så simpelt som en web-side, hvis underliggende browser understøtter SQLite-og SQL Web API, der oversætter exploit-kode til almindelige SQL-syntaks.
Firefox og Kant understøtter ikke denne API, men Chrom open-source browser-motor gør. Dette betyder, at Chrom-baserede browsere, som Google Chrome, Vivaldi, Opera og Modig, er alle berørt.
Men mens web-browsere, der udgør den største angreb overflade, andre apps, er også berørt. For eksempel, Google Startside er også sårbare.
“Vi får held til at udnytte Google Hjem med denne svaghed,” Tencent Blade holdet sagde i en sikkerhedsmeddelelse i denne uge.
Tencent Blade forskere siger, at de har rapporteret dette problem til SQLite-holdet tidligere i dette efterår. En rettelse blev sendt ud på December 1, med udgivelsen af SQLite 3.26.0. Fix var også porteret inde Chrom, og senere i Google Chrome 71, frigivet i sidste uge.
Chrom-baserede browsere, som Vivaldi, Opera og Modig er stadig en Krom-release bag, hvilket betyder, at de er mest sandsynligt stadig påvirket.
Mens det ikke understøtter Web-SQL, Firefox, også er påvirket, da den kommer med et lokalt tilgængelige SQLite-database, hvilket betyder at en lokal angriber kunne misbruge denne svaghed til at udføre kode og meget mere.
Men selv hvis SQLite-holdet sendt en rettelse, og mange apps er tilbøjelige til at forblive sårbare i de kommende år. Opdatering af den underliggende database engine til enhver desktop, mobil eller web app er en farlig proces, som til tider kan resultere i beskadigelse af data, og de fleste programmører undgå det så længe som muligt.
App udviklere sjældent opdatering biblioteker og de dele af deres apps, som det er, så chancerne for, at denne sårbarhed vil hjemsøge app økosystem i år, er temmelig høj.
På grund af denne grund, Tencent Blade holdet, sagde, at det ville afholde sig for tiden i at frigive nogen proof-of-concept exploit-kode. Ikke desto mindre, mens andre forskere er allerede begyndt at kæmning SQLite-patch til at foretage reverse engineering af det og se, hvordan sårbarhed værker under kølerhjelmen.
Dette SQLite-sårbarhed har endnu ikke modtaget et CVE-id-nummer og Tencent forskere bruger “Magellan” kodenavn at henvise til det for nu.
Mere sikkerhed dækning:
Facebook bug er udsat private fotos af 6,8 millioner brugereSignal: Vi kan ikke indeholde en bagdør i vores app for den Australske regeringLogitech app sikkerhedshul tilladt tastetryk injektion angrebAfpresning e-mails, der transporterer bombe trusler forårsage panik over OSBing anbefaler piratkopiering tutorial, når du søger efter Office 2019Shamoon malware ødelægger data på italiensk olie-og gas selskabMicrosoft ‘ s Edge til morph i en Chrom-baseret browser TechRepublicMicrosofts genopbygget Kant kan komme til Xbox, En CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre
0