SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器。

据 ZDNet 报导,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码,并在危险较小的情况下泄漏程序内存或导致程序崩溃。由于 SQLite 嵌入在数千个应用程序中,因此该漏洞会影响各种软件,包括物联网设备、桌面软件、Web 浏览器、Android 与 iOS 应用。

如果底层浏览器支持 SQLite 和 Web SQL API,那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API,这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响,而 Firefox 和 Edge 由于不支持此 API,因此不受影响。

腾讯 Blade  研究人员表示,他们在今年秋季早些时候向 SQLite 团队报告了此问题,SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题,但是 Opera 的 Chromium 版本还没有更新,这意味着它很可能还会受到影响。

另一方面,虽然 Firefox 不支持 Web SQL API,不会受到远程利用攻击,但是其自带了一个本地可访问的 SQLite 数据库,这意味着本地攻击者可能利用此漏洞来执行代码。

ZDNet 表示,由于开发者很少更新代码库及其应用的组件部分,因此很可能这个漏洞在接下来几年内还会持续产生影响,因此,腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。

本文经授权转载自开源中国。

推荐阅读:

  • 上映 10 天,票房就突破 10 亿的《海王》真的有那么好看?

  • Facebook 为何还不认错?

  • 2019 年的 Linux 会如何?

  • 10 亿元赌约“揭盅”!董明珠与雷军这五年变得更像对方了

  • 程序员为啥365天都背电脑包?这答案我服!

  • 我清华毕业,在龙泉寺写代码

  • Python 告诉你:熊市将去,牛市要来!

  • 开源项目哪家强?Github年终各大排行榜超级盘点(内附开源项目学习资源)

  • 为什么公司宁愿花25K重新招人,也不愿花20K留住老员工?

点击“阅读原文”,打开 APP 阅读更顺畅!

SQLite 被曝存在漏洞,数千应用受影响相关推荐

  1. 裁员狂潮席卷硅谷:Meta史上最大规模裁员将至,英特尔被曝裁掉数千人

    明敏 Alex 发自 凹非寺 量子位 | 公众号 QbitAI 扎克伯格,要"血洗"Meta了. 据华尔街日报消息,Meta计划在本周三前启动大规模裁员,波及员工达数千人. 这不光 ...

  2. Linux开源系统OpenWrt被曝RCE 漏洞已存在3年,数百万网络设备受影响

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 ForAllSecure 公司的研究员 Guido Vranken 在基于 Linux 的开源操作系统 OpenWrt 中发现了一个已 ...

  3. linux内核系列远程拒绝服务漏洞,预警 | Linux 爆“SACK Panic”远程DoS漏洞,大量主机受影响...

    近日,腾讯云安全中心监测到Linux 内核被曝存在TCP "SACK Panic" 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE- ...

  4. mysql 受影响行数_关于受影响行数的详细介绍

    如何通过SQL聚合函数获得增删改的受影响行数?再做进一步动作前就能够计算出一个查询返回或者影响的行数通常都非常有用,希望分页显示结果或生成统计信息时,这种功能特别方便,那么获取受影响行数的功能是如何实 ...

  5. 突发!Log4j 爆“核弹级”漏洞,Flink 等项目受影响,提供 Flink 解决方法,赶紧修!...

    昨天,你应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜.12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者 ...

  6. 持续集成商 Travis CI 爆严重漏洞,数千开源项目机密或被盗

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

  7. Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 领先的网络安全和网络产品和防火墙提供商Palo Alto Networks (PAN) 公司的支持仪表盘中存在一个bug,导致数千份客户支持工单 ...

  8. Travis CI 漏洞致数千个开源项目机密泄露

    近日,研究人员 Felix Lange 爆出 Travis CI 存在严重安全漏洞,所有公共开源存储库的安全环境变量(签名秘钥.访问凭据和所有公共开源项目的 API tokens 等)都包含到 pul ...

  9. 安卓通讯录管理软件_安卓又曝严重漏洞,或监控数亿用户,请尽快更新系统补丁!...

     Checkmarx 对安卓漏洞的披露与讲解 继 iOS 版 Facebook 曝出重大漏洞,出现让 App 能在后台调用相机的情况后(目前该漏洞已经修复),Android 阵营也出现类似情况. 安卓 ...

最新文章

  1. 案例实作图解.Net Entity Framework 教程
  2. 高级开发必须理解的Java中SPI机制
  3. 关于微信红包的架构思考
  4. 每天一道LeetCode-----删除链表倒数第n个节点
  5. [BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
  6. IPv6域名解析服务基础
  7. jquery一些基本函数
  8. 少儿编程100讲轻松学python(二)-python cv2模块怎么安装
  9. 1050 螺旋矩阵 (25 分
  10. html隐藏层点击显示不出来,[js+css]点击隐藏层,点击另外层不能隐藏原层
  11. 2005年全球H.264编解码器荟萃
  12. CAN总线技术 | 物理层03 - 采样点
  13. 人在囧途!12306买到相同高铁票 回应:可能是机器故障
  14. Nginx中常用的指令配置详解
  15. 零部件表设计 T_AIS_BASE_PARTS_INFO
  16. 【14浙江省赛 B ZOJ 3777】Problem Arrangement 【状压dp】 【CCPC-Wannafly Winter Camp Day2 K Sticks】
  17. opera档案学习(一)
  18. 【python量化】统计套利之配对交易策略实现(基于python)
  19. 暴雪战网国际版[国区登录战网国际版方法]
  20. 前方高能!阿里云双11拼团百团大战已开启!

热门文章

  1. 聚类算法 距离矩阵_论文阅读9——AP聚类算法
  2. leetcode python3 简单题225. Implement Stack using Queues
  3. Flutter代码锦囊---淘口令复制弹窗
  4. 中国水产养殖疫苗行业市场供需与战略研究报告
  5. php file_get_contents 效率,php 浅析file_get_contents、curl 的效率和稳定性
  6. java 安卓权限_java – Android运行时权限 – 如何实现
  7. Bing 和 Cortana 源码遭泄露,网友嘲讽:其实没人想要
  8. 我为什么辞去 Netflix 价值 45 万美元的开发工作
  9. Python:Bug 官网不要了,全迁去 GitHub!
  10. 两年盗取 1000 万美元的 Xbox 礼品卡,这个人竟然是“内鬼”!