證券代碼:
871169
|
證券簡稱:
藍耘科技
  • 關注藍耘科技官方微信
  • |
  • 藍耘服務
  • |
  • 400-606-3000

湖北快3每天几点开始> 新聞中心> 行業新聞>

SQLite被曝漏洞:或影響Chrome等數千款應用

摘要  據美國科技媒體ZDNet報道,騰訊Blade安全團隊發現的一個SQLite漏洞可以讓黑客在受害者的電腦上遠程運行惡意代碼,還會導致程序內存泄露或程序崩潰。 由于SQLite被嵌入到數千款應用中

湖北快3每天几点开始 www.atomsx.com.cn

據美國科技媒體ZDNet報道,騰訊Blade安全團隊發現的一個SQLite漏洞可以讓黑客在受害者的電腦上遠程運行惡意代碼,還會導致程序內存泄露或程序崩潰。

由于SQLite被嵌入到數千款應用中,因此這個漏洞會影響許多軟件,范圍涵蓋物聯網設備和桌面軟件,甚至包括網絡瀏覽器到Android和iOS應用。并且只要瀏覽器支持SQLite和Web SQL API,從而將破解代碼轉變成常規的SQL語法,黑客便可在用戶訪問網頁時對其加以利用。

火狐和Edge并不支持這種API,但基于Chromium的開源瀏覽器都支持這種API。也就是說,谷歌Chrome、Vivaldi、Opera和Brave都會受到影響。

不光網絡瀏覽器會遭受攻擊,其他應用也會受到影響。例如,Google Home就面臨安全威脅。騰訊Blade團隊在本周的報告中寫道:“我們借助這個漏洞成功利用了Google Home。”

騰訊Blade研究人員表示,他們曾在今年秋初向SQLite團隊報告過這個問題,12月1日已經通過SQLite 3.26.0發送了補丁。上周發布的谷歌Chrome 71也已經修補該漏洞。

Vivaldi和Brave等基于Chromium的瀏覽器都采用最新版本的Chromium,但Opera仍在運行較老版本的Chromium,因此仍會受到影響。

雖然并不支持Web SQL,但火狐也會受到這個漏洞的影響,原因在于他們使用了可以在本地訪問的SQLite數據庫,因此本地攻擊者也可以使用這個漏洞執行代碼。

Check Point研究員艾亞爾·伊特金(Eyal Itkin)也指出,該漏洞還需要攻擊者能夠發出任意的SQL指令,從而破壞數據庫并觸發漏洞,因而會大幅減少受影響的漏洞數量。

但即使SQLite團隊發布補丁,很多應用仍會在今后幾年面臨威脅。原因在于:升級所有桌面、移動或網頁應用的底層數據庫引擎是個危險的過程,經常導致數據損壞,所以多數程序員都會盡可能向后推遲。

也正因如此,騰訊Blade團隊在發布概念驗證攻擊代碼時會盡可能保持謹慎。

數據中心整體解決方案
機房監控 網絡環境 WIFI布置
專業團隊提供一站式多元化服務

優惠活動

ViP 藍耘服務
  • 全方位的購買咨詢
  • 精準的配置推薦
  • 靈活的價格方案
  • 專業的服務團隊
400-606-3000

鄭重聲明 : 本網站所有頁面與代碼都已經申請版權?;?,任何盜用,抄襲本頁面必將追究法律責任。