当前位置:主页 > 亚博产品 > 正文

SQLite爆出安全漏洞:多数浏览器及应用软件皆受冲击

09-10 亚博产品

[导读]根据外媒报道,腾讯下属安全团队Blade近日发现SQLite数据库存在一个安全漏洞,此漏洞的存在间接导致黑客可以通过运行恶意代码,远程影响使用者的电脑,还会导致程序内存泄露及崩溃。

图虫创意

根据外媒报道,腾讯下属安全团队Blade近日发现SQLite数据库存在一个安全漏洞,此漏洞的存在间接导致黑客可以通过运行恶意代码,远程影响使用者的电脑,还会导致程序内存泄露及崩溃。而SQLite数据库是作为Android和IOS软件应用开发的常用数据库,并大范围应用到浏览器API中,所以此次的安全漏洞可能波及到的范围极大。

由于SQLite被嵌入到数千款应用中,因此这个漏洞会影响许多软件,范围涵盖物联网设备和桌面软件,甚至包括网络浏览器到Android和iOS应用。并且只要浏览器支持SQLite和Web SQL API,从而将破解代码转变成常规的SQL语法,黑客便可在用户访问网页时对其加以利用。

火狐和Edge并不支持这种API,但基于Chromium的开源浏览器都支持这种API。也就是说,谷歌Chrome、Vivaldi、Opera和Brave都会受到影响。

不光网络浏览器会遭受攻击,其他应用也会受到影响。例如,Google Home就面临安全威胁。腾讯Blade团队在本周的报告中写道:“我们借助这个漏洞成功利用了Google Home。”

腾讯Blade研究人员表示,他们曾在今年秋初向SQLite团队报告过这个问题,12月1日已经通过SQLite 3.26.0发送了补丁。上周发布的谷歌Chrome 71也已经修补该漏洞。

Vivaldi和Brave等基于Chromium的浏览器都采用最新版本的Chromium,但Opera仍在运行较老版本的Chromium,因此仍会受到影响。

虽然并不支持Web SQL,但火狐也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。

Check Point研究员艾亚尔·伊特金(Eyal Itkin)也指出,该漏洞还需要攻击者能够发出任意的SQL指令,从而破坏数据库并触发漏洞,因而会大幅减少受影响的漏洞数量。

但即使SQLite团队发布补丁,很多应用仍会在今后几年面临威胁。原因在于:升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程,经常导致数据损坏,所以多数程序员都会尽可能向后推迟。

也正因如此,腾讯Blade团队在发布概念验证攻击代码时会尽可能保持谨慎。

 

声明:凡注明为其它来源的信息均转自其它平台,目的在于传递更多信息,并不代表本站观点及立场和对其真实性负责。若有侵权或异议请联系我们删除。

千家智客微信公众号

扫描下方二维码,关注千家智客微信公众号(qianjiacom),随时随地知晓智能行业天下事!

版权保护: 转载请保留链接: http://www.fscsjx.com/yabochanpin/172.html

亚博介绍
佛山市亚博机械设备有限公司是位于中国华南木工机械之乡。亚博于2005年10月成立至今,经过多年的发展,亚博成为一家集自动化设备开发制造、市场营销、技术服务融为一体的知名企业,期间积累了丰富的自动化设备制作和开发等管理经验。
亚博
亚博
亚博

友情链接