SQLite 被曝存在漏洞，数千应用受影响

SQLite 被曝存在一个影响数千应用的漏洞，受害应用包括所有基于 Chromium 的浏览器。

据 ZDNet 报导，该漏洞由腾讯 Blade 安全团队发现，允许攻击者在受害者的计算机上运行恶意代码，并在危险较小的情况下泄漏程序内存或导致程序崩溃。由于 SQLite 嵌入在数千个应用程序中，因此该漏洞会影响各种软件，包括物联网设备、桌面软件、Web 浏览器、Android 与 iOS 应用。

如果底层浏览器支持 SQLite 和 Web SQL API，那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API，这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响，而 Firefox 和 Edge 由于不支持此 API，因此不受影响。

腾讯 Blade  研究人员表示，他们在今年秋季早些时候向 SQLite 团队报告了此问题，SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题，但是 Opera 的 Chromium 版本还没有更新，这意味着它很可能还会受到影响。

另一方面，虽然 Firefox 不支持 Web SQL API，不会受到远程利用攻击，但是其自带了一个本地可访问的 SQLite 数据库，这意味着本地攻击者可能利用此漏洞来执行代码。

ZDNet 表示，由于开发者很少更新代码库及其应用的组件部分，因此很可能这个漏洞在接下来几年内还会持续产生影响，因此，腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。

本文经授权转载自开源中国。

推荐阅读：

• 上映 10 天，票房就突破 10 亿的《海王》真的有那么好看？

• Facebook 为何还不认错？
  

• 2019 年的 Linux 会如何？

• 10 亿元赌约“揭盅”！董明珠与雷军这五年变得更像对方了

• 程序员为啥365天都背电脑包？这答案我服！

• 我清华毕业，在龙泉寺写代码

• 脑洞 | Python 告诉你：熊市将去，牛市要来！

• 开源项目哪家强？Github年终各大排行榜超级盘点（内附开源项目学习资源）

• 为什么公司宁愿花25K重新招人，也不愿花20K留住老员工？

点击“阅读原文”，打开 APP 阅读更顺畅！

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/