新时代高科技不计其数越来越发达，小伙伴们看过不少科技新闻吧，在我们生活中应该也用到很多这些高科技东西，有哪些小伙伴值的关注的呢，今天就跟大家分享一篇有关科技方面知识，希望大家会喜欢。

一组新的SQLite漏洞允许攻击者在全球最流行的浏览器谷歌Chrome中远程运行恶意代码。

这五个漏洞被命名为“麦哲伦2.0”，今天由腾讯刀片安全团队披露。

所有使用SQLite数据库的应用程序都容易受到Magellan 2.0的攻击;然而，“远程利用”的危险比Chrome要小，Chrome的WebSQL API功能在默认情况下会让Chrome用户受到远程攻击。

就在麦哲伦2.0发布的一年前，也就是2018年12月，腾讯刀片服务器安全团队发布了麦哲伦原始的SQLite漏洞。

就像最初的Magellan漏洞一样，这些新的变化是由于SQLite数据库从第三方接收的SQL命令中的输入验证错误造成的。

攻击者可以编写包含恶意代码的SQL操作。当SQLite数据库引擎读取这个SQLite操作时，它可以代表攻击者执行命令。

在今天发布的一份安全报告中，腾讯刀片团队表示，麦哲伦2.0的漏洞可能导致“远程代码执行、程序内存泄漏或导致程序崩溃”。

所有使用SQLite数据库存储数据的应用程序都是易受攻击的，尽管“互联网远程攻击”的载体在默认情况下是不可利用的。要想被利用，应用程序必须允许直接输入原始SQL命令，这是很少有应用程序允许的。

对于谷歌Chrome的用户来说，远程攻击的危险是存在的，该浏览器还使用一个内部SQLite数据库来存储各种浏览器设置和用户数据。

这是因为谷歌Chrome附带了WebSQL，这是一个将JavaScript代码转换成SQL命令的API，然后在Chrome的SQLite数据库上执行。WebSQL在Chrome中是默认启用的，在Opera中也是如此。

恶意网站可以使用麦哲伦2.0漏洞来运行恶意代码攻击其Chrome访问者。然而，腾讯团队表示，用户没有理由担心，因为他们已经通知了谷歌和SQLite团队这些问题。

腾讯表示，两周前发布的谷歌Chrome 79.0.3945.79修复了麦哲伦2.0的五个漏洞。

SQLite项目也在2019年12月13日修复了一系列补丁中的错误;但是，这些修复并没有包含在一个稳定的SQLite分支中——仍然是12月10日发布的v3.30.1。

不必担心:SQLite和谷歌已经确认并修复了它，我们也正在帮助其他供应商解决这个问题。我们还没有发现任何滥用麦哲伦2.0的证据，现在也不会透露任何细节。如果您有任何技术问题，请随时与我们联系!https://t.co/3hUro9URWf

腾讯表示，它不知道有任何针对麦哲伦2.0漏洞的公开攻击代码或攻击。这家中国公司表示，它计划在未来几个月公布有关这两个漏洞的更多细节，而今天公布的只是他们发现的一个摘要，目的是提醒应用程序开发人员，并推动他们更新附带应用程序的SQLite版本。

然而，一些人可能不同意这家中国公司的决定。去年，当腾讯Blade公布了麦哲伦原始漏洞的细节时，该公司遭到了SQLite的创建者d理查德希普(D. Richard Hipp)的严厉批评。

当时，Hipp说这家中国公司夸大了原始漏洞的影响，因为Magellan攻击矢量不会导致绝大多数依赖SQLite的应用程序的远程代码执行(RCE)。

关于SQLite中的RCE漏洞的报告被大大夸大了。一些聪明的“灰帽子”发现了一种使用恶意编写的SQL来获得RCE的方法。因此，如果您允许随机的internet用户在您的系统上运行任意的SQL，那么您应该进行升级。否则，你就没有风险。

希普是对的，他2018年的观测结果对2019年的麦哲伦2.0仍然有效。大多数使用SQLite数据库的应用程序不会受到“远程”Magellan 2.0攻击的影响。

尽管如此，远程代码执行(RCE)场景在Chrome中是可能的，这主要是由于WebSQL API的存在。