澳门新葡亰信誉平台游戏SQLite被曝漏洞:或影响Chrome等数千款应用 – SQLite,谷歌,Chrome – IT之家

by admin on 2020年3月20日

网络安全和渗透测验咨询公司 SureCloud 的研讨职员开采谷歌(Google卡塔尔国 Chrome 和 Opera
浏览器存在漏洞,可使 Wi-Fi 受到攻击。

原标题:[图]Tencent刀锋安全共青团和少先队发掘严重SQLite漏洞 收到谷歌(Google卡塔尔苹果致谢
来源:cnBeta.COM近年来Tencent刀锋(TencentBlade)安全团队意识了一组名称叫“Magellan
2.0”的SQLite漏洞,允许红客在Chrome浏览器上长途运维种种恶意程序。那组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019-
13752和CVE-2019-13753,全体应用SQLite数据库的采纳均会直面Magellan
2.0攻击影响。越来越多相关新闻访谈:
2.0(麦哲伦)是一组存在于SQLite的狐狸尾巴。它由腾讯 Blade
Team发掘,并证实可选择在根据Chromium内核的浏览器的Render进程中落到实乡长途代码推行。作为出名开源数据库SQLite已经被使用于具有主流操作系统和软件中,因而该漏洞影响相当大范围。经测量试验,Chrome浏览器也受此漏洞影响,前段时间谷歌与SQLite官方已确认并修复了此漏洞。依照Tencent刀锋安全共青团和少先队官方博文,除了具备基于Chromium的浏览器和GoogleHome智能音箱设深受到震慑之外,苹果旗下One plus, 三星GALAXY Tab, MacBook, iMac, Apple
Watch, Apple TV等多款热销产物也惨被震慑。SQLite漏洞是Tencent Blade
Team在金昌切磋中,通过人为代码审计与自动化测量检验发掘的。这一组漏洞被集体命名叫“Magellan(麦哲伦)”。依据SQLite的官方提交记录,麦哲伦漏洞中祸害严重的尾巴或然早已存在8年之久。利用麦哲伦漏洞,攻击者能够在客户计算机上远程运营恶意代码,招致程序内部存款和储蓄器败露或程序崩溃。近年来,TencentBlade
Team已联手谷歌(GoogleState of Qatar、Apple、Instagram、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同不经常候,TencentBlade
Team也提醒客商立时关心系统与软件更新文告,需将SQLite晋级到眼下风行的3.26.0
版本。前一周宣布的谷歌(Google卡塔尔Chrome
71,也曾经修补该漏洞。Vivaldi和Brave等依附Chromium的浏览器,都接纳新式版本的Chromium。但Opera仍在运转较老版本的Chromium,因而仍会遭到震慑。其它,纵然并不支持Web
SQL,但Firefox也会碰到这一个漏洞的熏陶,原因在于他们接受了能够在该地访谈的SQLite数据库,由此地点攻击者也能够行使那些漏洞实行代码。TencentBlade安全团队建议,使用Chromium系付加物的团协会,请尽快更新至官方牢固版本71.0.3578.80,假设使用付加物中涉及SQLite,请更新到3.26.0.别的,如临前卫未条件采纳官方提供的修补方案,也可能有一对应急提议方案:1)关闭SQLite中的fts3意义;2)禁止使用WebSQL:编写翻译时不编写翻译third-party的sqlite组件。由于WebSQL未有此外专门的学业,最近独有Chrome、Safari扶植。最终,验证办法:重新编写翻译后的水源应不可能在调节台调用openDatabase函数。

据美利坚合众国科学和技术媒体ZDNet报纸发表,腾讯Blade安全团队意识的八个SQLite漏洞能够让黑客在被害者的Computer上远程运行恶意代码,还大概会导致程序内部存款和储蓄器走漏或程序崩溃。

澳门新葡亰信誉平台游戏 1

是因为SQLite被置于到数千款使用中,因而这几个漏洞会听得多了就能说的详细多数软件,范围满含物联网设备和桌面软件,以致蕴含网络浏览器到Android和iOS应用。並且只要浏览器扶持SQLite和Web
SQL
API,进而将破解代码转换成常规的SQL语法,红客便可在客户访谈网页时对其再说运用。

切磋人士表示,基于 Chrome 内核的浏览器能够保留 Wi-Fi
西路由器管理页面凭据并活动重新输入,以方便客户选拔,而出于大多数家用路由器不采纳加密通讯实行后台管理,那使得商量人口能够利用这种活动凭证重新登陆,达到盗取路由器登入凭据并利用它们捕获
Wi-Fi
密码(PSK)的目标。商讨人口还提供了一段漏洞使用的示范录制:

火狐和Edge并不扶植这种API,但基于Chromium的开源浏览器都援救这种API。也正是说,GoogleChrome、Vivaldi、Opera和Brave都会碰着震慑。

那个漏洞适用于任何依赖 Chrome 内核 Chromium 的浏览器,例如Chrome、Opera、Slimjet 与 Torch 等,通过明文 HTTP
提供管理页面包车型大巴别的路由器都会受到此难点的震慑。

不仅仅互联网浏览器会碰到攻击,别的应用也会受到震慑。举例,谷歌(GoogleState of QatarHome就濒广陵全仰制。TencentBlade团队在本周的告诉中写道:“大家借助这几个漏洞成功运用了GoogleHome。”

研讨职员早在 3 月 2 日就向 谷歌 的 Chromium 项目揭露了该漏洞,但
Chromium 回复称浏览器效能按规划专门的工作,并且不许备修复。

TencentBlade切磋人口代表,他们以前在二零一五年秋初向SQLite团队报告过那一个题目,7月1日已经因而SQLite
3.26.0发送了补丁。下18日文告的GoogleChrome 71也曾经修补该漏洞。

“安全性和便利性之间一贯存在权衡,但我们的商量清楚地表明,存款和储蓄登陆凭据的
Web 浏览器中的效率正在使大批判的家园和商社互联网受到攻击“,SureCloud
的网络安全实践老董 Luke Potter 说:“大家感到那个设计难点亟需在受影响的
Web
浏览器中期维修复,避防守漏洞被利用,产生客商损失。”对于谷歌(Google卡塔尔国不修复该漏洞的还原,他们也不能够。

Vivaldi和Brave等依靠Chromium的浏览器都施用新型版本的Chromium,但Opera仍在运作较老版本的Chromium,由此仍会遭遇震慑。

而最新新闻是,在前两天推出的
Chrome 69 中,Google已经修复了该漏洞。

纵然如此并不支持Web
SQL,但火狐也晤面前碰着这么些漏洞的震慑,原因在于他们利用了能够在当地访问的SQLite数据库,由此地点攻击者也得以选拔那一个漏洞推行代码。

(文/开源中华夏儿女民共和国卡塔尔(قطر‎    

Check
Point商讨员艾亚尔·Etter金也建议,该漏洞还需求攻击者能够发生自便的SQL指令,进而破坏数据库并触发漏洞,因此会小幅度减小受影响的疏漏数量。

但不怕SQLite团队宣布补丁,很Dolly用仍会在那后几年直面威吓。原因在于:晋级具备桌面、移动或网页应用的底层数据库引擎是个危殆的经过,平时以致数据损坏,所以大多数技士都会尽量向后延迟。

也正因如此,TencentBlade共青团和少先队在宣布概念验证攻击代码时会尽可能维持留意。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图