#117803#­SQLite 被曝存在1个影响数千利用的漏洞,受害利用包括所有基于 Chromium 的阅读器。据 ZDNet 报道,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的 计算机上运行歹意代码,并在危险较小的情况下泄漏程序内存或致使程序崩溃。
­由于 SQLite 嵌入在数千个利用程序中,因此该漏洞会影响各种软件,包括物联网装备、桌面软件、Web 阅读器、Android 与iOS 利用。
­如果底层阅读器支持 SQLite 和 Web SQL ApI,那末将漏洞利用代码转换为常规 SQL 语法也能够通过访问网页等操作远程利用此漏洞。Chromium 阅读器引擎支持此 ApI,这意味着像 Chrome、Vivaldi、Opera 和 Brave 等阅读器都会遭到影响,而 Firefox 和 Edge 由于不支持此 ApI,因此不受影响。
­腾讯 Blade 研究人员表示,他们在今年秋季早些时候向 SQLite 团队报告了此问题,SQLite 3.26.0 中进行了修复。Chrome 71 已解决了该问题,但是 Opera的 Chromium 版本还没有更新,这意味着它极可能还会遭到影响。
­腾讯 Blade 研究人员表示,他们在今年秋季早些时候向 SQLite 团队报告了此问题,SQLite 3.26.0 中进行了修复。Chrome 71 已解决了该问题,但是 Opera 的 Chromium 版本还没有更新,这意味着它极可能还会遭到影响。
­另外一方面,虽然 Firefox 不支持 Web SQL ApI,不会遭到远程利用攻击,但是其自带了1个本地可访问的 SQLite 数据库,这意味着本地攻击者可能利用此漏洞来履行代码。
­ZDNet 表示,由于开发者很少更新代码库及其利用的组件部份,因此极可能这个漏洞在接下来几年内还会延续产生影响,因此,腾讯 Blade 团队表示暂时不会发布任何概念验证漏洞利用代码。
更多内容阅读推荐: 违章建筑拆除的认定标准 | 
IP卡
狗仔卡
发表于 2021-4-10 14:34:20
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡