SQLite被曝漏洞：或影響Chrome等上千款應用

據美國科技媒體ZDNet報道，騰訊Blade安全團隊發現的一個SQLite漏洞可以讓黑客在受害者的電腦上遠程運行惡意代碼，還會導致程序內存泄露或程序崩潰。

由於SQLite被嵌入到數千款應用中，因此這個漏洞會影響許多軟體，範圍涵蓋物聯網設備和桌面軟體，甚至包括網路瀏覽器到Android和iOS應用。並且只要瀏覽器支持SQLite和Web SQL API，從而將破解代碼轉變成常規的SQL語法，黑客便可在用戶訪問網頁時對其加以利用。

火狐和Edge並不支持這種API，但基於Chromium的開源瀏覽器都支持這種API。也就是說，谷歌Chrome、Vivaldi、Opera和Brave都會受到影響。

不光網路瀏覽器會遭受攻擊，其他應用也會受到影響。例如，Google Home就面臨安全威脅。騰訊Blade團隊在本周的報告中寫道：「我們藉助這個漏洞成功利用了Google Home。」

騰訊Blade研究人員表示，他們曾在今年秋初向SQLite團隊報告過這個問題，12月1日已經通過SQLite 3.26.0發送了補丁。上周發布的谷歌Chrome 71也已經修補該漏洞。

Vivaldi和Brave等基於Chromium的瀏覽器都採用最新版本的Chromium，但Opera仍在運行較老版本的Chromium，因此仍會受到影響。

雖然並不支持Web SQL，但火狐也會受到這個漏洞的影響，原因在於他們使用了可以在本地訪問的SQLite資料庫，因此本地攻擊者也可以使用這個漏洞執行代碼。

Check Point研究員艾亞爾·伊特金（Eyal Itkin）也指出，該漏洞還需要攻擊者能夠發出任意的SQL指令，從而破壞資料庫並觸發漏洞，因而會大幅減少受影響的漏洞數量。

但即使SQLite團隊發布補丁，很多應用仍會在今後幾年面臨威脅。原因在於：升級所有桌面、移動或網頁應用的底層資料庫引擎是個危險的過程，經常導致數據損壞，所以多數程序員都會儘可能向後推遲。

也正因如此，騰訊Blade團隊在發布概念驗證攻擊代碼時會儘可能保持謹慎。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！