广泛使用的 SQLite 数据库被曝高危漏洞
Hackernews 编译,转载请注明出处: SQLite数据库中已披露了一个高严重性漏洞,该漏洞是2000年10月代码更改的一部分,可能使攻击者崩溃或控制程序。 该漏洞被追踪为CVE-2022-35737(CVSS评分:7.5),已有22年历史,会影响SQLite版本1.0.12至3.39.1,并在2022年7月21日发布的版本3.39.2中得到解决。 “CVE-2022-35737在64位系统上是可利用的,可利用性取决于程序的编译方式。”Trail of Bits研究人员Andreas Kellas在今天发表的一篇技术文章中表示。 当编译库时没有堆栈金丝雀时,任意代码执行是确认的,但是当堆栈金丝雀存在时,任意代码执行是未确认的,并且在所有情况下都确认拒绝服务。 SQLite是用C语言编程,使用最广泛的数据库引擎,默认情况下包含Android、iOS、Windows和macOS,以及流行的web浏览器,如谷歌Chrome、Mozilla Firefox和Apple Safari。 Trail of Bits发现的漏洞涉及一个整数溢出漏洞,当超大字符串输入作为参数传递给printf函数的SQLite实现时,就会出现该漏洞,而PRINTF函数又会使用另一个函数来处理字符串格式化(“sqlite3_str_vappendf”)。 然而,漏洞库成功武器化的前提是字符串包含%Q、%Q或%w格式替换类型,当用户控制的数据写入超出堆栈分配缓冲区的边界时,可能会导致程序崩溃。 Kellas解释道:“如果格式字符串包含’!’特殊字符以启用unicode字符扫描,那么在最坏的情况下就有可能实现任意代码执行,或者导致程序无限期地挂起和循环。” 该漏洞也是几十年前被认为不切实际的一个例子——分配1GB字符串作为输入——随着64位计算系统的出现而变得可行。 Kellas说:“当系统主要是32位体系结构时,这个bug在编写时(可以追溯到SQLite源代码中的2000年)可能看起来并不是一个错误。” 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
腾讯团队发现 SQLite 漏洞:或影响 Chrome 等数千款应用
据美国科技媒体 ZDNet 报道,腾讯 Blade 安全团队发现的一个 SQLite 漏洞可以让黑客在受害者的电脑上远程运行恶意代码,还会导致程序内存泄露或程序崩溃。由于 SQLite 被嵌入到数千款应用中,因此这个漏洞会影响许多软件,范围涵盖物联网设备和桌面软件,甚至包括网络浏览器到 Android 和 iOS 应用。 访问: 腾讯云 并且只要浏览器支持 SQLite 和 Web SQL API,从而将破解代码转变成常规的 SQL 语法,黑客便可在用户访问网页时对其加以利用。 火狐和 Edge 并不支持这种 API,但基于 Chromium 的开源浏览器都支持这种 API。也就是说,谷歌 Chrome、Vivaldi、Opera 和 Brave 都会受到影响。 不光网络浏览器会遭受攻击,其他应用也会受到影响。例如,Google Home 就面临安全威胁。腾讯 Blade 团队在本周的报告中写道:“我们借助这个漏洞成功利用了 Google Home。” 腾讯 Blade 研究人员表示,他们曾在今年秋初向 SQLite 团队报告过这个问题,12 月 1 日已经通过 SQLite 3.26.0 发送了补丁。上周发布的谷歌 Chrome 71 也已经修补该漏洞。 Vivaldi 和 Brave 等基于 Chromium 的浏览器都采用最新版本的 Chromium,但 Opera 仍在运行较老版本的 Chromium,因此仍会受到影响。 虽然并不支持 Web SQL,但火狐也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的 SQLite 数据库,因此本地攻击者也可以使用这个漏洞执行代码。 Check Point 研究员艾亚尔·伊特金(Eyal Itkin)也指出,该漏洞还需要攻击者能够发出任意的 SQL 指令,从而破坏数据库并触发漏洞,因而会大幅减少受影响的漏洞数量。 但即使 SQLite 团队发布补丁,很多应用仍会在今后几年面临威胁。原因在于:升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程,经常导致数据损坏,所以多数程序员都会尽可能向后推迟。 也正因如此,腾讯 Blade 团队在发布概念验证攻击代码时会尽可能保持谨慎。 稿源:,稿件以及封面源自网络;