圖片來源: 

Tensent Blade

研究人員發現,廣泛為App、Chromium瀏覽器或IoT裝置使用的SQLite資料庫,存在一項重大漏洞,可能讓駭客遠端執行程式碼。Google及SQLite官方已緊急修補漏洞。

首先發現這隻漏洞的騰訊旗下Blade安全研究部門將之命名為Magellan(麥哲倫)。基於SQLite應用範圍之廣泛,並未透露漏洞的技術細節,但表示該漏洞可以誘使用戶以瀏覽器造訪特定網頁而遠端觸發,導致程式碼執行、應用程式記憶體洩露或讓App當掉。

SQLite是一開源輕量關聯資料庫,對作業系統或外部函式庫支援的需求很小,因此可廣泛用於各種裝置或應用,包括物聯網裝置、Windows、macOS App,如Adobe Flash或Skype,甚至一系列Chromium瀏覽器,涵括Google Chrome、Opera、Vivaldi、Brave等,也可以經由Web SQL 資料庫API支援SQLite。這使得Magellan漏洞可能影響上百萬款App,以及不計其數的PC與物聯網裝置。

在此同時,研究人員已針對Magellan製作出概念驗證攻擊程式,也已成功入侵Google Home。所幸尚未發現有實際的攻擊程式在網路上流行。

目前,相關資安研究人員已經將Magellan通報Google,後者也已緊急修復此漏洞。如果用戶用的是Chromium-based瀏覽器,應升級到71.0.3578.80版。而Google也在本月初,釋出最新版Chrome 71

SQLite官方也已修補了漏洞,並釋出更新版3.26.0


Advertisement

更多 iThome相關內容