騰訊團隊發現SQLite漏洞:或影響Chrome等數千款應用-愛新聞

騰訊團隊發現SQLite漏洞:或影響Chrome等數千款應用

據美國科技媒體ZDNet報導,騰訊Blade安全團隊發現的一個SQLite漏洞可以讓黑客在受害者的電腦上遠程運行惡意代碼,還會導致程序內存洩露或程序崩潰。由於SQLite被嵌入到數千款應用中,因此這個漏洞會影響許多軟件,範圍涵蓋物聯網設備和桌面軟件,甚至包括網絡瀏覽器到Android和iOS應用。

並且只要瀏覽器支持SQLite和Web SQL API,從而將破解代碼轉變成常規的SQL語法,黑客便可在用戶訪問網頁時對其加以利用。

火狐和Edge並不支持這種API,但基於Chromium的開源瀏覽器都支持這種API。也就是說,谷歌Chrome、Vivaldi、Opera和Brave都會受到影響。

不光網絡瀏覽器會遭受攻擊,其他應用也會受到影響。例如,Google Home就面臨安全威脅。騰訊Blade團隊在本週的報告中寫道:“我們藉助這個漏洞成功利用了Google Home。”

騰訊Blade研究人員表示,他們曾在今年秋初向SQLite團隊報告過這個問題,12月1日已經通過SQLite 3.26.0發送了補丁。上週發布的谷歌Chrome 71也已經修補該漏洞。

Vivaldi和Brave等基於Chromium的瀏覽器都採用最新版本的Chromium,但Opera仍在運行較老版本的Chromium,因此仍會受到影響。

雖然並不支持Web SQL,但火狐也會受到這個漏洞的影響,原因在於他們使用了可以在本地訪問的SQLite ,因此本地攻擊者也可以使用這個漏洞執行代碼。

Check Point研究員艾亞爾·伊特金(Eyal Itkin)也指出,該漏洞還需要攻擊者能夠發出任意的SQL指令,從而破壞數據庫並觸發漏洞,因而會大幅減少受影響的漏洞數量。

但即使SQLite團隊發布補丁,很多應用仍會在今後幾年面臨威脅。原因在於:升級所有桌面、移動或網頁應用的底層數據庫引擎是個危險的過程,經常導致數據損壞,所以多數程序員都會盡可能向後推遲。

也正因如此,騰訊Blade團隊在發布概念驗證攻擊代碼時會盡可能保持謹慎。

發佈留言