SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium
的浏览器。

据美国科技媒体ZDNet报道,腾讯Blade安全团队发现的一个SQLite漏洞可以让黑客在受害者的电脑上远程运行恶意代码,还会导致程序内存泄露或程序崩溃。

据ZDNet
报导,该漏洞由腾讯
Blade
安全团队发现,允许攻击者在受害者的计算机上运行恶意代码,并在危险较小的情况下泄漏程序内存或导致程序崩溃。由于
SQLite
嵌入在数千个应用程序中,因此该漏洞会影响各种软件,包括物联网设备、桌面软件、Web
浏览器、Android 与 iOS 应用。

由于SQLite被嵌入到数千款应用中,因此这个漏洞会影响许多软件,范围涵盖物联网设备和桌面软件,甚至包括网络浏览器到Android和iOS应用。并且只要浏览器支持SQLite和Web
SQL
API,从而将破解代码转变成常规的SQL语法,黑客便可在用户访问网页时对其加以利用。

如果底层浏览器支持 SQLite 和 Web SQL API,那么将漏洞利用代码转换为常规
SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium
浏览器引擎支持此 API,这意味着像 Chrome、Vivaldi、Opera 和 Brave
等浏览器都会受到影响,而 Firefox 和 Edge 由于不支持此
API,因此不受影响。

火狐和Edge并不支持这种API,但基于Chromium的开源浏览器都支持这种API。也就是说,谷歌Chrome、Vivaldi、Opera和Brave都会受到影响。

腾讯 Blade  研究人员表示,他们在今年秋季早些时候向 SQLite
团队报告了此问题,SQLite 3.26.0 中进行了修复。Chrome 71
已经解决了该问题,但是 Opera 的 Chromium
版本还没有更新,这意味着它很可能还会受到影响。

不光网络浏览器会遭受攻击,其他应用也会受到影响。例如,Google
Home就面临安全威胁。腾讯Blade团队在本周的报告中写道:“我们借助这个漏洞成功利用了Google
Home。”

另一方面,虽然 Firefox 不支持 Web SQL
API,不会受到远程利用攻击,但是其自带了一个本地可访问的 SQLite
数据库,这意味着本地攻击者可能利用此漏洞来执行代码。

腾讯Blade研究人员表示,他们曾在今年秋初向SQLite团队报告过这个问题,12月1日已经通过SQLite
3.26.0发送了补丁。上周发布的谷歌Chrome 71也已经修补该漏洞。

ZDNet
表示,由于开发者很少更新代码库及其应用的组件部分,因此很可能这个漏洞在接下来几年内还会持续产生影响,因此,腾讯
Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。

Vivaldi和Brave等基于Chromium的浏览器都采用最新版本的Chromium,但Opera仍在运行较老版本的Chromium,因此仍会受到影响。

(文/开源中国)    

虽然并不支持Web
SQL,但火狐也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。

Check
Point研究员艾亚尔·伊特金也指出,该漏洞还需要攻击者能够发出任意的SQL指令,从而破坏数据库并触发漏洞,因而会大幅减少受影响的漏洞数量。

但即使SQLite团队发布补丁,很多应用仍会在今后几年面临威胁。原因在于:升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程,经常导致数据损坏,所以多数程序员都会尽可能向后推迟。

也正因如此,腾讯Blade团队在发布概念验证攻击代码时会尽可能保持谨慎。