腾讯刀锋安全团队发现的Magellan 2.0 SQLite漏洞严重吗？

热门回答：

近日腾讯刀锋（Tencent Blade）安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞。允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个。编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753。所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。

Magellan 2.0（麦哲伦）是一组存在于SQLite的漏洞。它由Tencent Blade Team发现。并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中。因此该漏洞影响十分广泛。经测试。Chrome浏览器也受此漏洞影响。目前Google与SQLite官方已确认并修复了此漏洞。

根据腾讯刀锋安全团队官方博文。除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外。苹果旗下iPhone, iPad, MacBook, iMac, Apple Watch, Apple TV等多款热门产品也受到影响。

SQLite漏洞是Tencent Blade Team在安全研究中。通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan（麦哲伦）”。根据SQLite的官方提交记录。麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞。攻击者可以在用户电脑上远程运行恶意代码。导致程序内存泄露或程序崩溃。

目前。Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时。Tencent Blade Team也提醒用户及时关注系统与软件更新通知。需将SQLite升级到目前最新的3.26.0 版本。

上周发布的谷歌Chrome 71。也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器。都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium。因此仍会受到影响。

另外。虽然并不支持Web SQL。但Firefox也会受到这个漏洞的影响。原因在于他们使用了可以在本地访问的SQLite数据库。因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议。使用Chromium系产品的团队。请尽快更新至官方稳定版本71.0.3578.80。如果使用产品中涉及SQLite。请更新到3.26.0.

另外。如暂时没有条件采用官方提供的修补方案。也有一些应急建议方案：

1）关闭SQLite中的fts3功能；

2）禁用WebSQL：编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范。目前仅有Chrome、Safari支持。

最后。验证方法：重新编译后的内核应无法在控制台调用openDatabase函数。

您还感兴趣的文章推荐

• 在北京月入14k，这种情况下要不要离职呢？
• 27岁：考研还是考公？该如何做出选择？
• 如何平衡自己的时间与陪伴孩子的时间？有哪些实用方法？
• 大专女生学前教育毕业一年多，有两家园工作经验想转行该咋办？
• 普通人怎样做才能挣到钱？有哪些途径和方法？

以上就是由互联网推广工程师 网创网 整理编辑的，如果觉得有帮助欢迎收藏转发~