麥哲倫2.0來襲,再曝五個SQLite漏洞

安全牛
繼麥哲倫1.0 (Magellan 1.0) 曝光三個 SQLite 漏洞后,近日騰訊 Blade 安全團隊公布了 Google Chrome 瀏覽器的五個新漏洞,攻擊者可以利用這些漏洞來遠(yuǎn)程執(zhí)行代碼。

繼麥哲倫1.0 (Magellan 1.0) 曝光三個 SQLite 漏洞后,近日騰訊 Blade 安全團隊公布了 Google Chrome 瀏覽器的五個新漏洞,攻擊者可以利用這些漏洞來遠(yuǎn)程執(zhí)行代碼。

SQLite 是全球最受歡迎的輕量級數(shù)據(jù)庫之一,尤其是在嵌入式設(shè)備中,SQLite 比 MySQL、SQL Server 資源占用少,執(zhí)行效率高,自帶數(shù)據(jù)庫引擎。因此,騰訊 Blade 發(fā)現(xiàn)的 SQLite 漏洞,其影響范圍非常大,波及大量嵌入式物聯(lián)網(wǎng)設(shè)備、桌面軟件(Chrome瀏覽器)和 Android/iOS 應(yīng)用。

騰訊Blade團隊將新一批五個漏洞命名為麥哲倫2.0(CVE代碼:CVE-2019-13734,CVE-2019-13750,CVE-2019-13751,CVE-2019-13752,CVE-2019-13753)Blade 團隊表示他們可以通過這五個漏洞成功利用 Chrome 瀏覽器。根據(jù)這些漏洞的 CVE Mitre 描述,攻擊者可以通過精心制作的 HTML 頁面遠(yuǎn)程利用這些漏洞來發(fā)起一系列惡意攻擊,包括允許攻擊者執(zhí)行 “繞過深度防御措施” 到 “從進程內(nèi)存中獲取潛在敏感信息” 的任何操作。

騰訊研究人員在本周的一份報告中說:如果您的軟件使用 SQLite 作為組件(沒有最新的補丁程序),并且支持外部 SQL 查詢;或者,如果您使用的 79.0.3945.79 之前的 Chrome 并啟用了 WebSQL,都可能會受到影響。

我們已經(jīng)向Google報告了該漏洞的所有詳細(xì)信息,如果您的產(chǎn)品使用Chromium,請更新到官方穩(wěn)定版本79.0.3945.79。如果您的產(chǎn)品使用SQLite,請更新到最新的代碼提交。

遵循 “負(fù)責(zé)任的漏洞披露程序”,Blade 安全人員表示不會在漏洞報告發(fā)布 90 天后披露該漏洞的更多詳細(xì)信息。

麥哲倫漏洞已于 2019 年 11 月 16 日報告給 Google 和 SQLite; Google 在 2019 年 12 月 11 日發(fā)布了官方固定的 Chrome 版本:79.0.3945.79。

據(jù)研究人員透露,他們尚未看到麥哲倫 2.0 在野外被利用。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論