IT業界資訊媒體

【SQLite 淪陷】Magellan 重大漏洞致數百萬軟件崩潰!

SQLite 係一款關聯式資料庫管理系統 (Relational Database Management System) ,由於對操作系統的要求不高,幾乎適用於所有設備、平台及程式語言,大到 IoT 設備,細到 macOSWindows 系統,甚至 Adobe FlashSkype 等等,數以萬計的 App 都被嵌入 SQLite,應用非常廣泛。

所以呢次真係好大獲。騰訊 Blade 安全團隊近日公佈了 SQLite 一個嚴重漏洞 Magellan(麥哲倫),可讓黑客在受害設備上執行惡意代碼、洩漏程式 memory,甚至令軟件崩潰。

除咗以上提及的 app 之外,基於 Chromium browser,例如 Google ChromeOperaVivaldi Brave 等,都係經由 Web SQL 資料庫 API 支援 SQLite,黑客就可以將破解代碼轉成常規 SQL 語言,透過惡意網站來入侵用戶設備。

目前,SQLite 已修補漏洞,將軟件更新至 3.26.0Google 亦馬上更新 Chromium 71.0.3578.80 以對付漏洞。

但仍有上百萬個 app 未被修補,由於 update 應用程式的 database engine 可能導致系統不穩定,或數據受損,因此修補工作常被推遲。即係話,未來幾年仍會有好多應用程式受到本次漏洞威脅。亦都係因為咁,騰訊研究員選擇不對外公佈 PoC(概念認證攻擊) 或更多技術細節,以防黑客乘虛而入。

資料來源:https://bit.ly/2GjMl5i

相關文章:【雲端安全危機】Kubernetes 首個重大漏洞現身! https://bit.ly/2EnMT7I