SQLite “Magellan” RCE漏洞影响数十亿个应用程序，包括所有基于Chromium的浏览器

SQLite “Magellan” RCE漏洞影响数十亿个应用程序，包括所有基于Chromium的浏览器

腾讯Blade安全团队在SQLite数据库中发现了一个漏洞，该漏洞将数十亿桌面和Web应用程序暴露给黑客。此漏洞归类为远程执行代码（RCE）漏洞尚未收到CVE标识号，并被腾讯Blade团队昵称为Magellan（麦哲伦）。由于SQLite是现代操作系统和应用程序中最常用的数据库之一，因此该漏洞可能会影响各种不同的应用程序（例如：Android/iOS），设备（例如：IoT）和软件。

Magellan带来了危险，例如允许黑客在被黑客入侵的计算机中运行恶意代码，泄漏程序内存或导致程序崩溃。此外，即使在支持SQLite的浏览器中访问特定网页，也可以远程利用此漏洞。除了SQLite之外，所有使用Chromium引擎的Web浏览器也都受此漏洞的影响。腾讯Magellan已经向Google开发人员报告了这个漏洞，然后Google开发人员立即对其进行处理。

此外，腾讯Blade的安全专家也成功利用了Google Home漏洞，但尚未披露漏洞利用代码。该团队还提到他们尚未看到Magellan被“疯狂”滥用的案例。腾讯Blade建议更新到Chromium的官方稳定版本71.0.3578.80和SQLite的3.26.0，因为它们不受此漏洞的影响。

据报道，Google Chrome，Vivaldi和Brave都受到影响，因为他们通过Web SQL数据库API支持SQLite。 Safari Web浏览器尚未受到影响，如果黑客获得对其本地SQLite数据库的访问权限，Firefox可能容易出现此漏洞。

“我们目前不会透露任何有关此漏洞的细节，我们正在敦促其他供应商尽快修复此漏洞”，腾讯Blade团队表示。

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2018-12/155888.htm