SQLite被曝漏洞！影响Chrome等数千个应用程序

本篇文章914字，读完约2分钟

流行的sqlite数据库引擎中的安全漏洞使成千上万的桌面和移动应用面临风险。该漏洞是由腾讯的刀片安全团队发现的，它允许攻击者在受害者的计算机上运行恶意代码，泄漏程序内存或导致程序在不太危险的情况下崩溃。

由于sqlite嵌入了成千上万的应用程序，该漏洞将影响所有类型的软件，从物联网设备到桌面软件，从网络浏览器到安卓和ios应用程序。

据研究人员称，坏消息是，如果底层浏览器支持sqlite和Web sql API(它们将利用代码转换为常规的sql语法)，那么也可以通过访问简单的网页来远程利用该漏洞。

Firefox和edge不支持这个api，但是chromium开源浏览器引擎支持。这意味着基于chrome的浏览器，如chrome、vivaldi、opera和brave将受到影响。这里提供了一个崩溃的铬标签的演示。

然而，尽管网络浏览器构成了最大的攻击面，其他应用程序也受到了影响。例如，谷歌主页也很脆弱。

研究人员说，他们在今年秋天早些时候向sqlite团队报告了这个问题。随着sqlite 3.26.0的发布，该修补程序于12月1日发布。该修补程序也被移植到chrome，后来又被移植到上周发布的谷歌chrome 71。

基于Chrome的浏览器如vivaldi和brave正在运行最新版本的chrome，但是opera仍然是chrome版本，这意味着它的最新版本仍然受到影响。

尽管firefox不支持web sql，但它也受到了影响，因为它附带了一个本地可访问的sqlite数据库，这意味着本地攻击者可能会滥用此漏洞来执行代码等等。

check point的研究员Eyal itkin也指出，该漏洞还要求攻击者“发布任意sql命令来破坏数据库并触发该漏洞”，从而大大减少了易受攻击的应用程序的数量。

但是，即使sqlite团队发布了修复程序，许多应用程序在未来的几年里也可能仍然脆弱。将底层数据库引擎更新到任何桌面、移动或web应用程序都是一个危险的过程，有时会导致数据损坏，大多数程序员会尽可能避免使用它。

应用程序开发人员很少更新他们应用程序的库和组件部分，所以这个漏洞很可能会困扰应用程序生态系统很多年。

来源：搜狐微门户