[图]腾讯刀锋安全团队发现严重SQLite漏洞 收到谷歌苹果致谢

更多相干信息会见：https://blade.tencent.com/magellan2/index.html

腾讯刀锋安详团队官方网站：https://blade.tencent.com/

Magellan 2.0（麦哲伦）是一组存在于SQLite的裂痕。它由Tencent Blade Team发明，并验证可操作在基于Chromium内核的赏识器的Render历程中实现长途代码执行。作为知名开源数据库SQLite已经被应用于全部主流操纵体系和软件中，因此该裂痕影响异常普及。经测试，Chrome赏识器也受此裂痕影响，今朝Google与SQLite官方已确认并修复了此裂痕。

按照腾讯刀锋安详团队官方博文，除了全部基于Chromium的赏识器和Google Home智能音箱装备受到影响之外，苹果旗下iPhone, iPad, MacBook, iMac, Apple Watch, Apple TV等多款热点产物也受到影响。

SQLite裂痕是Tencent Blade Team在安详研究中，通过人工代码审计与自动化测试发明的。这一组裂痕被团队定名为“Magellan（麦哲伦）”。按照SQLite的官方提交记录，麦哲伦裂痕中危害严峻的裂痕也许已经存在8年之久。操作麦哲伦裂痕，进攻者可以在用户电脑上长途运行恶意代码，导致措施内存泄漏或措施瓦解。

今朝，Tencent Blade Team已连系Google、Apple、Facebook、Microsoft及SQLite官方安详团敦促裂痕修复盼望。与此同时，Tencent Blade Team也提示用户实时存眷体系与软件更新关照，需将SQLite进级到今朝最新的3.26.0 版本。

上周宣布的谷歌Chrome 71，也已经修补该裂痕。Vivaldi和Brave等基于Chromium的赏识器，都回收最新版本的Chromium。但Opera仍在运行较老版本的Chromium，因此仍会受到影响。

其它，固然并不支持Web SQL，但Firefox也会受到这个裂痕的影响，缘故起因在于他们行使了可以在当地会见的SQLite数据库，因此当地进攻者也可以行使这个裂痕执行代码。腾讯Blade安详团队提议，行使Chromium系产物的团队，请尽快更新至官方不变版本71.0.3578.80，假如行使产物中涉及SQLite，请更新到3.26.0.

其它，如暂且没有前提回收官方提供的修补方案，也有一些应急提议方案：

1）封锁SQLite中的fts3成果；

2）禁用WebSQL：编译时不编译third-party的sqlite组件。因为WebSQL没有任何类型，今朝仅有Chrome、Safari支持。

最后，验证要领：从头编译后的内核应无法在节制台挪用openDatabase函数。

本文素材来自互联网

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!