SQLite “Magellan” RCE漏洞影响数十亿个应用程序,包括所有基
腾讯Blade安全团队在SQLite数据库中发现了一个漏洞,该漏洞将数十亿桌面和Web应用程序暴露给黑客。此漏洞归类为远程执行代码(RCE)漏洞尚未收到CVE标识号,并被腾讯Blade团队昵称为Magellan(麦哲伦)。由于SQLite是现代操作系统和应用程序中最常用的数据库之一,因此该漏洞可能会影响各种不同的应用程序(例如:Android/iOS),设备(例如:IoT)和软件。
Magellan带来了危险,例如允许黑客在被黑客入侵的计算机中运行恶意代码,泄漏程序内存或导致程序崩溃。此外,即使在支持SQLite的浏览器中访问特定网页,也可以远程利用此漏洞。除了SQLite之外,所有使用Chromium引擎的Web浏览器也都受此漏洞的影响。腾讯Magellan已经向Google开发人员报告了这个漏洞,然后Google开发人员立即对其进行处理。
此外,腾讯Blade的安全专家也成功利用了Google Home漏洞,但尚未披露漏洞利用代码。该团队还提到他们尚未看到Magellan被“疯狂”滥用的案例。腾讯Blade建议更新到Chromium的官方稳定版本71.0.3578.80和SQLite的3.26.0,因为它们不受此漏洞的影响。
据报道,Google Chrome,Vivaldi和Brave都受到影响,因为他们通过Web SQL数据库API支持SQLite。 Safari Web浏览器尚未受到影响,如果黑客获得对其本地SQLite数据库的访问权限,Firefox可能容易出现此漏洞。
“我们目前不会透露任何有关此漏洞的细节,我们正在敦促其他供应商尽快修复此漏洞”,腾讯Blade团队表示。