当前位置:新闻动态 \ 行业动态
麦哲伦2.0来袭,再曝五个SQLite漏洞
新闻来源:安全牛
发布人:计算机安全协会
点击率:141
发布日期:2019.12.31

继麦哲伦1.0 (Magellan 1.0) 曝光三个 SQLite 漏洞后,近日腾讯 Blade 安全团队公布了 Google Chrome 浏览器的五个新漏洞,攻击者可以利用这些漏洞来远程执行代码。

微信图片_20191231085951.jpg

SQLite 是全球最受欢迎的轻量级数据库之一,尤其是在嵌入式设备中,SQLite 比 MySQL、SQL Server 资源占用少,执行效率高,自带数据库引擎。因此,腾讯 Blade 发现的 SQLite 漏洞,其影响范围非常大,波及大量嵌入式物联网设备、桌面软件(Chrome浏览器)和 Android/iOS 应用。

腾讯Blade团队将新一批五个漏洞命名为麦哲伦2.0(CVE代码:CVE-2019-13734,CVE-2019-13750,CVE-2019-13751,CVE-2019-13752,CVE-2019-13753)Blade 团队表示他们可以通过这五个漏洞成功利用 Chrome 浏览器。根据这些漏洞的 CVE Mitre 描述,攻击者可以通过精心制作的 HTML 页面远程利用这些漏洞来发起一系列恶意攻击,包括允许攻击者执行 “绕过深度防御措施” 到 “从进程内存中获取潜在敏感信息” 的任何操作。

腾讯研究人员在本周的一份报告中说:如果您的软件使用 SQLite 作为组件(没有最新的补丁程序),并且支持外部 SQL 查询;或者,如果您使用的 79.0.3945.79 之前的 Chrome 并启用了 WebSQL,都可能会受到影响。

我们已经向Google报告了该漏洞的所有详细信息,如果您的产品使用Chromium,请更新到官方稳定版本79.0.3945.79。如果您的产品使用SQLite,请更新到最新的代码提交。

遵循 “负责任的漏洞披露程序”,Blade 安全人员表示不会在漏洞报告发布 90 天后披露该漏洞的更多详细信息。

麦哲伦漏洞已于 2019 年 11 月 16 日报告给 Google 和 SQLite; Google 在 2019 年 12 月 11 日发布了官方固定的 Chrome 版本:79.0.3945.79。

据研究人员透露,他们尚未看到麦哲伦 2.0 在野外被利用。

Magellan2.0 漏洞报告:

https://blade.tencent.com/magellan2/index_en.html

桌面端更新:

https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop.html

上一篇:勒索软件突袭荷兰大学,锁死全校电脑资料
下一篇:智慧城市公共 WiFi 安全的四个关键点
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com