麥哲倫2.0來襲,再曝五個SQLite漏洞
責編:gltian |2019-12-30 15:56:01繼麥哲倫1.0 (Magellan 1.0) 曝光三個 SQLite 漏洞后,近日騰訊 Blade 安全團隊公布了 Google Chrome 瀏覽器的五個新漏洞,攻擊者可以利用這些漏洞來遠程執行代碼。
SQLite 是全球最受歡迎的輕量級數據庫之一,尤其是在嵌入式設備中,SQLite 比 MySQL、SQL Server 資源占用少,執行效率高,自帶數據庫引擎。因此,騰訊 Blade 發現的 SQLite 漏洞,其影響范圍非常大,波及大量嵌入式物聯網設備、桌面軟件(Chrome瀏覽器)和 Android/iOS 應用。
騰訊Blade團隊將新一批五個漏洞命名為麥哲倫2.0(CVE代碼:CVE-2019-13734,CVE-2019-13750,CVE-2019-13751,CVE-2019-13752,CVE-2019-13753)Blade 團隊表示他們可以通過這五個漏洞成功利用 Chrome 瀏覽器。根據這些漏洞的 CVE Mitre 描述,攻擊者可以通過精心制作的 HTML 頁面遠程利用這些漏洞來發起一系列惡意攻擊,包括允許攻擊者執行 “繞過深度防御措施” 到 “從進程內存中獲取潛在敏感信息” 的任何操作。
騰訊研究人員在本周的一份報告中說:如果您的軟件使用 SQLite 作為組件(沒有最新的補丁程序),并且支持外部 SQL 查詢;或者,如果您使用的 79.0.3945.79 之前的 Chrome 并啟用了 WebSQL,都可能會受到影響。
我們已經向Google報告了該漏洞的所有詳細信息,如果您的產品使用Chromium,請更新到官方穩定版本79.0.3945.79。如果您的產品使用SQLite,請更新到最新的代碼提交。
遵循 “負責任的漏洞披露程序”,Blade 安全人員表示不會在漏洞報告發布 90 天后披露該漏洞的更多詳細信息。
麥哲倫漏洞已于 2019 年 11 月 16 日報告給 Google 和 SQLite; Google 在 2019 年 12 月 11 日發布了官方固定的 Chrome 版本:79.0.3945.79。
據研究人員透露,他們尚未看到麥哲倫 2.0 在野外被利用。
Magellan2.0 漏洞報告:
https://blade.tencent.com/magellan2/index_en.html
桌面端更新:
https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop.html