您好!欢迎来到深圳市互联网学会官网!
首页 > 资讯中心 > 互联网要闻 > 行业快讯 > 腾讯Blade安全团队发现SQLite漏洞会导致程序内存泄露或程序崩溃

腾讯Blade安全团队发现SQLite漏洞会导致程序内存泄露或程序崩溃

  • A-
  • A+
来源:新浪科技    2018-12-17
  • 分享

 原标题:腾讯团队发现SQLite漏洞:或影响Chrome等数千款应用


由于SQLite被嵌入到数千款应用中,因此这个漏洞会影响许多软件,范围涵盖物联网设备和桌面软件,甚至包括网络浏览器到Android和iOS应用。并且只要浏览器支持SQLite和Web SQL API,从而将破解代码转变成常规的SQL语法,黑客便可在用户访问网页时对其加以利用。


火狐和Edge并不支持这种API,但基于Chromium的开源浏览器都支持这种API。也就是说,谷歌Chrome、Vivaldi、Opera和Brave都会受到影响。


不光网络浏览器会遭受攻击,其他应用也会受到影响。例如,Google Home就面临安全威胁。腾讯Blade团队在本周的报告中写道:“我们借助这个漏洞成功利用了Google Home。”


腾讯Blade研究人员表示,他们曾在今年秋初向SQLite团队报告过这个问题,12月1日已经通过SQLite 3.26.0发送了补丁。上周发布的谷歌Chrome 71也已经修补该漏洞。


Vivaldi和Brave等基于Chromium的浏览器都采用最新版本的Chromium,但Opera仍在运行较老版本的Chromium,因此仍会受到影响。


虽然并不支持Web SQL,但火狐也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。


Check Point研究员艾亚尔·伊特金(Eyal Itkin)也指出,该漏洞还需要攻击者能够发出任意的SQL指令,从而破坏数据库并触发漏洞,因而会大幅减少受影响的漏洞数量。


但即使SQLite团队发布补丁,很多应用仍会在今后几年面临威胁。原因在于:升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程,经常导致数据损坏,所以多数程序员都会尽可能向后推迟。


也正因如此,腾讯Blade团队在发布概念验证攻击代码时会尽可能保持谨慎。


结语:随着物联网的迅猛发展,我们的日常生活已被各种智能家居设备包围,而酒店、大楼、商场等场所也逐渐投入智能楼宇的怀抱。对我们来说,通过手机App开空调、关音箱等操作,已不再陌生。但对于黑客来说,这种高度自动化、万物互联的生活,却处处都是可以攻陷的“后门”。


(编辑:丨本文链接:https://www.isz.org.cn/news/9/2/8697.html

深圳市互联网学会创会精神:互联网起源于美国、互联网应用在中国、中国互联网看深圳(2014年2月初注册isz.org.cn)我们带领深圳企业一起走向全中国、一起走向全世界!!!
更多学习进入互联网在线学习《互联网学会》公众号

欢迎加入学会
我们随时为您提供帮助

成为会员

热门文章

查看更多

咨询热线

0755-32875048

周一至周五 9:00-18:00

地址:深圳市龙岗区坂田街道坂田国际中心E栋二层209房

  • 深圳市互联网学会官方微博扫码加客服微信
  • 深圳市互联网学会官方微信关注微信公众号
@深圳市互联网学会 版权所有
  备案号:粤ICP备14018046号