SQLite 被曝存在漏洞 所有 Chromium 瀏覽器受影響

日前，騰訊Blade安全團隊發現的一個SQLite漏洞可以讓黑客在受害者的電腦上遠程運行惡意代碼，還會導致程序內存泄露或程序崩潰。Tencent Blade Team將其命名為Magellan（麥哲倫），并將其上報給了國家信息安全漏洞共享平臺（CNVD）。

2018年12月10日，CNVD收錄了這一SQLite遠程代碼執行漏洞（CNVD-2018-24855），公告詳見http://www.cnvd.org.cn/webinfo/show/4803。

作為知名開源數據庫，SQLite已經被應用于所有主流操作系統和軟件中，因此該漏洞影響面十分廣泛。范圍涵蓋物聯網設備和桌面軟件，甚至包括網絡瀏覽器到Android和iOS應用。并且只要瀏覽器支持SQLite和Web SQL API，從而將破解代碼轉變成常規的SQL語法，黑客便可在用戶訪問網頁時對其加以利用。

包括谷歌Chrome、Vivaldi、Opera和Brave在內等基于Chromium的開源瀏覽器都支持這種API，都會受到影響。火狐和Edge除外。目前Google與SQLite官方已確認并修復了此漏洞。本著負責任的漏洞披露原則 ，我們暫時不會透露此漏洞的任何詳細信息，同時我們正在努力推動所有受影響廠商盡快修復此漏洞。

不光網絡瀏覽器會遭受攻擊，其他應用也會受到影響。例如，Google Home就面臨安全威脅。騰訊Blade團隊在本周的報告中寫道：“我們借助這個漏洞成功利用了Google Home。”

騰訊Blade安全團隊表示，他們曾在今年秋初向SQLite團隊報告過麥哲倫漏洞，12月1日已經通過SQLite 3.26.0發送了補丁。上周發布的谷歌Chrome 71，也已經修補該漏洞。Vivaldi和Brave等基于Chromium的瀏覽器，都采用最新版本的Chromium。

但Opera仍在運行較老版本的Chromium，因此仍會受到影響。

另外，雖然并不支持Web SQL，但火狐也會受到這個漏洞的影響，原因在于他們使用了可以在本地訪問的SQLite數據庫，因此本地攻擊者也可以使用這個漏洞執行代碼。

而且，由于升級所有桌面、移動或網頁應用的底層數據庫引擎，危風險不小，經常導致數據損壞，所以多數程序員都會盡可能向后推遲。這樣一來，即使SQLite團隊發布了官方補丁，但很多應用仍會在今后幾年面臨威脅。因此，騰訊 Blade 團隊表示暫時不會發布任何概念驗證漏洞利用代碼。