SQLite大漏洞！所有Chromium瀏覽器中招

允中 發自 凹非寺

量子位 報導 | 公眾號 QbitAI

一個SQLite大bug，影響之大、範圍之廣，不容小覷。

今天，騰訊Blade安全團隊發現的SQLite漏洞披露，他們將該漏洞稱為“Magellan”，即麥哲倫。

利用麥哲倫漏洞，攻擊者可以在用戶電腦上遠程運行惡意代碼，還會導致程式記憶體洩露或程式崩潰。

而且由於SQLite被嵌入到數千款應用中，因此麥哲倫漏洞會影響許多軟體。

範圍涵蓋物聯網設備和桌面軟體，甚至包括網絡瀏覽器、安卓和iOS應用。

SQLite太大，現在責任也越大。

SQLite？

SQLite，全球最受歡迎的數據庫之一。

在2017年發布的調查中，排名第三。

SQLite一方面可以被用於嵌入式的開發中，在一些記憶體很小的設備上面，它天生驕傲， 比MySQL、SQL Server之類的數據庫管理軟體不知高到哪裡去。

SQLite佔用記憶體小，但滿足關係數據庫的大部分特徵，同時執行SQL語句的效率都是非常高。

另一方面，還能在後端使用來提高性能，在相同的情況下，一樣的查詢，它比MySQL什麽的數據庫快得多。

作為基礎組件庫的SQLite也作為擴展庫被許多程式使用。例如PHP、Python、Java等等,攻擊者可通過攻擊代碼，在一些進程的上下文中在本地或遠程任意執行代碼，或導致軟體的拒絕服務。

並且SQLite作為嵌入式數據庫，支持大多數SQL標準，實現了無伺服器、零配置、事務性的SQL數據庫引擎，在網頁瀏覽器、作業系統、嵌入式系統中使用較為廣泛。

具體什麽樣的產品會中招？

Chromium系瀏覽器中招

只要是支持SQLite和Web SQL API的瀏覽器，就有中招可能。

因為攻擊者可以將破解代碼轉變成常規的SQL語法，便可在用戶訪問網頁時對其加以利用。

火狐和Edge並不支持這種API，但基於Chromium的開源瀏覽器都支持這種API。

也就是說，谷歌Chrome、Vivaldi、Opera和Brave都會受到影響。

不光網絡瀏覽器會遭受攻擊，其他產品和應用也會受到影響。例如，Google Home就面臨安全威脅。

發現麥哲倫漏洞的騰訊Blade團隊報告稱，他們利用這個漏洞成功黑進了Google Home.

有補丁但隱患仍在

目前，官方補丁已出。

騰訊Blade安全團隊表示，他們曾在今年秋初向SQLite團隊報告過麥哲倫漏洞，12月1日已經通過SQLite 3.26.0發送了補丁。

上周發布的谷歌Chrome 71，也已經修補該漏洞。Vivaldi和Brave等基於Chromium的瀏覽器，都採用最新版本的Chromium。

但Opera仍在運行較老版本的Chromium，因此仍會受到影響。

另外，雖然並不支持Web SQL，但火狐也會受到這個漏洞的影響，原因在於他們使用了可以在本地訪問的SQLite數據庫，因此本地攻擊者也可以使用這個漏洞執行代碼。

而且，由於更新所有桌面、移動或網頁應用的底層數據庫引擎，危風險不小，經常導致數據損壞，所以多數程式員都會盡可能向後推遲。

這樣一來，即使SQLite團隊發布了官方補丁，但很多應用仍會在今後幾年面臨威脅。

處置建議

騰訊Blade安全團隊建議，使用Chromium系產品的團隊，請盡快更新至官方穩定版本71.0.3578.80，如果使用產品中涉及SQLite，請更新到3.26.0.

另外，如暫時沒有條件採用官方提供的修補方案，也有一些應急建議方案：

1）關閉SQLite中的fts3功能；

2）禁用WebSQL：編譯時不編譯third-party的sqlite組件。由於WebSQL沒有任何規範，目前僅有Chrome、Safari支持。

最後，驗證方法：重新編譯後的內核應無法在控制台調用openDatabase函數。

傳送門：

漏洞報告：https://blade.tencent.com/magellan/index_en.html

chrom更新：https://chromereleases.googleblog.com/2018/12/stable-channel-update-for-desktop.html

SQLite補丁：https://www.sqlite.org/releaselog/3_26_0.html

—完—

活動報名

加入社群

量子位AI社群開始招募啦，歡迎對AI感興趣的同學，在量子位公眾號（QbitAI）對話界面回復關鍵字“交流群”，獲取入群方式；

此外，量子位專業細分群(自動駕駛、CV、NLP、機器學習等)正在招募，面向正在從事相關領域的工程師及研究人員。

進專業群請在量子位公眾號（QbitAI）對話界面回復關鍵字“專業群”，獲取入群方式。（專業群審核較嚴，敬請諒解）

誠摯招聘

量子位正在招募編輯/記者，工作地點在北京中關村。期待有才氣、有熱情的同學加入我們！相關細節，請在量子位公眾號(QbitAI)對話界面，回復“招聘”兩個字。