产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
sqlite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 chromium 的浏览器。据 zdnet 报导,该漏洞由腾讯 blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码,并在危险较小的情况下泄漏程序内存或导致程序崩溃。
由于 sqlite 嵌入在数千个应用程序中,因此该漏洞会影响各种软件,包括物联网设备、桌面软件、web 浏览器、android 与 ios 应用。
如果底层浏览器支持 sqlite 和 web sql api,那么将漏洞利用代码转换为常规 sql 语法也可以通过访问网页等操作远程利用此漏洞。chromium 浏览器引擎支持此 api,这意味着像 chrome、vivaldi、opera 和 brave 等浏览器都会受到影响,而 firefox 和 edge 由于不支持此 api,因此不受影响。
腾讯 blade 研究人员表示,他们在今年秋季早些时候向 sqlite 团队报告了此问题,sqlite 3.26.0 中进行了修复。chrome 71 已经解决了该问题,但是 opera 的 chromium 版本还没有更新,这意味着它很可能还会受到影响。
另一方面,虽然 firefox 不支持 web sql api,不会受到远程利用攻击,但是其自带了一个本地可访问的 sqlite 数据库,这意味着本地攻击者可能利用此漏洞来执行代码。
zdnet 表示,由于开发者很少更新代码库及其应用的组件部分,因此很可能这个漏洞在接下来几年内还会持续产生影响,因此,腾讯 blade 团队表示暂时不会发布任何概念验证漏洞利用代码。
试用申请
