SQLite暴露了一个影响成千上万应用程序的漏洞,包括所有基于Chromium的浏览器。据ZDNet报道,该漏洞是由腾讯的Blade安全团队发现的,攻击者可以在受害者的计算机上运行恶意代码,并在不太危险的情况下泄漏程序内存或导致程序崩溃。
由于SQLite嵌入在成千上万的应用程序中,该漏洞将影响各种软件,包括物联网设备、桌面软件、网络浏览器、安卓和iOS应用程序。
如果底层浏览器支持SQLite和Web SQL API,将漏洞利用代码转换为常规的SQL语法也可以通过访问网页和其他操作远程利用此漏洞。Chromium浏览器引擎支持这个API,这意味着Chrome、Vivaldi、Opera、Brave等浏览器都会受到影响,而Firefox、Edge因为不支持这个API,所以不受影响。
腾讯Blade的研究人员表示,他们在今年秋天早些时候向SQLite团队报告了这个问题,SQLite 3.26.0修复了这个问题。Chrome 71解决了这个问题,但是Chrome版本的Opera还没有更新,这意味着很可能会受到影响。
腾讯Blade的研究人员表示,他们在今年秋天早些时候向SQLite团队报告了这个问题,SQLite 3.26.0修复了这个问题。Chrome 71解决了这个问题,但是Chrome版本的Opera还没有更新,这意味着很可能会受到影响。
另一方面,尽管Firefox不支持Web SQL API,也不会受到远程利用的攻击,但它附带了一个本地可访问的SQLite数据库,这意味着本地攻击者可能会利用此漏洞执行代码。
ZDNet表示,由于开发人员很少更新其应用程序的代码库和组件,因此该漏洞很可能会在未来几年内继续产生影响。因此,腾讯Blade团队表示,暂时不会发布任何概念验证漏洞利用代码。
原标题:SQLite暴露漏洞。所有Chromium浏览器都受到影响。
编辑:李晓玲。
本文就为大家讲解到这里。