- A+
该软件已被全球数千家组织使用
国际网络安全研究所的数字取证专家报告发现SQLite软件中的一个关键漏洞,这是一个广泛使用的数据库引擎; 据报道,该漏洞可能会使数百万个实施暴露于多个网络攻击。
SQLite漏洞被发现它的专家团队昵称为“Magellan” ,它允许远程攻击者在受感染设备上执行恶意或任意代码,泄漏程序内存或阻止应用程序。
SQLite是一种轻量级,广泛使用的基于磁盘的关系数据库管理系统,需要外部操作系统或库的最小支持,因此几乎可与任何设备,平台或编程语言兼容, 数字取证专家提到。
目前,SQLite被数以百万计的应用程序使用,因此,数十亿的实现,包括物联网(IoT)设备,macOS和Windows应用程序,以及最常用的搜索引擎,Adobe软件,Skype和许多其他平台。
由于基于Chromium的Web浏览器(如Chrome,Opera和Brave)也通过SQL Web数据库API与SQLite兼容(被认为已过时),因此远程攻击者可以轻易攻击受影响浏览器的用户,只需说服他们访问设计网站。
“在确认该漏洞也影响了Chromium之后,谷歌数字取证团队解决了这一漏洞”,该公司的博客中提到了这一点。
SQLite团队在收到网络安全专家的报告后,推出了3.26.0软件的更新版本以纠正漏洞。 另一方面,谷歌推出了71.0.3578.80版本的Chromium来解决这个问题。
一家网络安全公司的专家声称,他们成功地设计了一个漏洞概念证明,并对该公司的智能扬声器Google Home进行了测试。 由于大多数应用程序不会很快更新,研究专家决定不再透露有关漏洞或概念证据的更多详细信息。
SQLite被Adobe,Apple,Dropbox,Firefox,Android和许多其他开发使用,因此这个漏洞被认为是一个关键问题,尽管仍然没有证据表明它已经在野外被利用。
网络安全专家建议用户和管理员在可用时立即更新系统并安装安全补丁。
