騰訊團隊發現SQLite漏洞:或影響Chrome等數千款應用
2018年12月17日08:57

  新浪科技訊 北京時間12月17日早間消息,據美國科技媒體ZDNet報導,騰訊Blade安全團隊發現的一個SQLite漏洞可以讓駭客在受害者的電腦上遠程運行惡意代碼,還會導致程式內存泄露或程式崩潰。

  由於SQLite被嵌入到數千款應用中,因此這個漏洞會影響許多軟件,範圍涵蓋物聯網設備和桌面軟件,甚至包括網絡瀏覽器到Android和iOS應用。並且只要瀏覽器支援SQLite和Web SQL API,從而將破解代碼轉變成常規的SQL語法,駭客便可在用戶訪問網頁時對其加以利用。

  火狐和Edge並不支援這種API,但基於Chromium的開源瀏覽器都支援這種API。也就是說,GoogleChrome、Vivaldi、Opera和Brave都會受到影響。

  不光網絡瀏覽器會遭受攻擊,其他應用也會受到影響。例如,Google Home就面臨安全威脅。騰訊Blade團隊在本週的報告中寫道:“我們借助這個漏洞成功利用了Google Home。”

  騰訊Blade研究人員表示,他們曾在今年秋初向SQLite團隊報告過這個問題,12月1日已經通過SQLite 3.26.0發送了補丁。上週發佈的GoogleChrome 71也已經修補該漏洞。

  Vivaldi和Brave等基於Chromium的瀏覽器都採用最新版本的Chromium,但Opera仍在運行較老版本的Chromium,因此仍會受到影響。

  雖然並不支援Web SQL,但火狐也會受到這個漏洞的影響,原因在於他們使用了可以在本地訪問的SQLite數據庫,因此本地攻擊者也可以使用這個漏洞執行代碼。

  Check Point研究員艾亞爾·伊特金(Eyal Itkin)也指出,該漏洞還需要攻擊者能夠發出任意的SQL指令,從而破壞數據庫並觸發漏洞,因而會大幅減少受影響的漏洞數量。

  但即使SQLite團隊發佈補丁,很多應用仍會在今後幾年面臨威脅。原因在於:升級所有桌面、移動或網頁應用的底層數據庫引擎是個危險的過程,經常導致數據損壞,所以多數程式員都會儘可能向後推遲。

  也正因如此,騰訊Blade團隊在發佈概念驗證攻擊代碼時會儘可能保持謹慎。(書聿)

關注我們Facebook專頁
    相關新聞
      更多瀏覽