SQLite漏洞引发数百万APP和IoT安全危机

源自：中关村在线

---

　　近期，广泛用于APP、Chromium浏览器或IoT设备的SQLite数据库，被曝出一项重大漏洞，能让骇客能展开远端攻击。

EnEa-hqwsysz8218066.jpg  保存到相册

上传时间: 2018-12-31 13:26

文件大小: 11.72 KB

下载次数: 4

点击文件名下载图片

 

　　据悉，首先发现此漏洞的腾讯旗下Blade安全研究部门将其命名为Magellan（麦哲伦）。基于SQLite应用范围之广泛，并未透露漏洞的技术细节，但表示该漏洞可以诱使用户以浏览器造访特定网页而远端触发，导致代码执行、应用程序内存泄露或让APP宕掉。
　　SQLite是一个开源的轻量级关联数据库，对操作系统或外部函式库支持的需求很小，因此可广泛用于各种设备或应用，包括物联网设备、Windows、macOS APP，如Adobe Flash或Skype，甚至一系列Chromium浏览器，涵括Google Chrome、Opera、Vivaldi、Brave等，也可以经由Web SQL数据库API支持SQLite。这使得Magellan漏洞可能影响上百万款APP，以及不计其数的PC与物联网设备。
　　在此同时，研究人员已针对Magellan制作出概念验证攻击程序，也已成功入侵Google Home。所幸尚未发现有实际的攻击代码在网络上流行开。
　　目前，相关安全研究人员已经将Magellan通报给Google，后者也已紧急修复此漏洞。如果用户用的是Chromium-based浏览器，应升级到71.0.3578.80版。而Google也在本月初，放出了最新版Chrome 71。而SQLite官方也已修补了漏洞，并释出更新版3.26.0。