SQLite被曝存在漏洞,所有 Chromium 浏览器受影响

栏目: 数据库 · 发布时间: 5年前

SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器。

ZDNet 报导 ,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码,并在危险较小的情况下泄漏程序内存或导致程序崩溃。由于 SQLite 嵌入在数千个应用程序中,因此该漏洞会影响各种软件,包括物联网设备、桌面软件、Web 浏览器、Android 与 iOS 应用。

如果底层浏览器支持 SQLite 和 Web SQL API,那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API,这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响,而 Firefox 和 Edge 由于不支持此 API,因此不受影响。

腾讯 Blade  研究人员表示,他们在今年秋季早些时候向 SQLite 团队报告了此问题,SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题,但是 Opera 的 Chromium 版本还没有更新,这意味着它很可能还会受到影响。

另一方面,虽然 Firefox 不支持 Web SQL API,不会受到远程利用攻击,但是其自带了一个本地可访问的 SQLite 数据库,这意味着本地攻击者可能利用此漏洞来执行代码。

ZDNet 表示,由于开发者很少更新代码库及其应用的组件部分,因此很可能这个漏洞在接下来几年内还会持续产生影响,因此,腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。


以上所述就是小编给大家介绍的《SQLite被曝存在漏洞,所有 Chromium 浏览器受影响》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

计算机程序设计艺术(第2卷)

计算机程序设计艺术(第2卷)

Donald E. Knuth / 苏运霖 / 国防工业出版社 / 2002-8 / 98.00元

本书是国内外业界广泛关注的7卷本《计算机程序设计艺术》第2卷的最新版。本卷对半数值算法领域做了全面介绍,分“随机数”和“算术”两章。本卷总结了主要算法范例及这些算法的基本理论,广泛剖析了计算机程序设计与数值分析间的相互联系,其中特别值得注意的是作者对随机数生成程序的重新处理和对形式幂级数计算的讨论。 本书附有大量习题和答案,标明了难易程度及数学概念的使用。 本书内容精辟,语言流畅,引人入胜,可供从......一起来看看 《计算机程序设计艺术(第2卷)》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具