安全動(dòng)態(tài)

麥哲倫2.0來襲,再曝五個(gè)SQLite漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-31    瀏覽次數(shù):
 

信息來源:安全牛

繼麥哲倫1.0 (Magellan 1.0) 曝光三個(gè) SQLite 漏洞后,近日騰訊 Blade 安全團(tuán)隊(duì)公布了 Google Chrome 瀏覽器的五個(gè)新漏洞,攻擊者可以利用這些漏洞來遠(yuǎn)程執(zhí)行代碼。

SQLite 是全球最受歡迎的輕量級(jí)數(shù)據(jù)庫之一,尤其是在嵌入式設(shè)備中,SQLite 比 MySQL、SQL Server 資源占用少,執(zhí)行效率高,自帶數(shù)據(jù)庫引擎。因此,騰訊 Blade 發(fā)現(xiàn)的 SQLite 漏洞,其影響范圍非常大,波及大量嵌入式物聯(lián)網(wǎng)設(shè)備、桌面軟件(Chrome瀏覽器)和 Android/iOS 應(yīng)用。

騰訊Blade團(tuán)隊(duì)將新一批五個(gè)漏洞命名為麥哲倫2.0(CVE代碼:CVE-2019-13734,CVE-2019-13750,CVE-2019-13751,CVE-2019-13752,CVE-2019-13753)Blade 團(tuán)隊(duì)表示他們可以通過這五個(gè)漏洞成功利用 Chrome 瀏覽器。根據(jù)這些漏洞的 CVE Mitre 描述,攻擊者可以通過精心制作的 HTML 頁面遠(yuǎn)程利用這些漏洞來發(fā)起一系列惡意攻擊,包括允許攻擊者執(zhí)行 “繞過深度防御措施” 到 “從進(jìn)程內(nèi)存中獲取潛在敏感信息” 的任何操作。

騰訊研究人員在本周的一份報(bào)告中說:如果您的軟件使用 SQLite 作為組件(沒有最新的補(bǔ)丁程序),并且支持外部 SQL 查詢;或者,如果您使用的 79.0.3945.79 之前的 Chrome 并啟用了 WebSQL,都可能會(huì)受到影響。

我們已經(jīng)向Google報(bào)告了該漏洞的所有詳細(xì)信息,如果您的產(chǎn)品使用Chromium,請(qǐng)更新到官方穩(wěn)定版本79.0.3945.79。如果您的產(chǎn)品使用SQLite,請(qǐng)更新到最新的代碼提交。

遵循 “負(fù)責(zé)任的漏洞披露程序”,Blade 安全人員表示不會(huì)在漏洞報(bào)告發(fā)布 90 天后披露該漏洞的更多詳細(xì)信息。

麥哲倫漏洞已于 2019 年 11 月 16 日?qǐng)?bào)告給 Google 和 SQLite; Google 在 2019 年 12 月 11 日發(fā)布了官方固定的 Chrome 版本:79.0.3945.79。

據(jù)研究人員透露,他們尚未看到麥哲倫 2.0 在野外被利用。

 
 

上一篇:2019年12月30日 聚銘安全速遞

下一篇:警惕偽裝成“Synaptics觸摸板驅(qū)動(dòng)程序”的新型蠕蟲病毒