一组新的SQLite漏洞可以使攻击者在全球最受欢迎的Web浏览器Google Chrome中远程运行恶意代码。
该漏洞共有五个,被称为“Magellan 2.0”,并已由腾讯Blade安全团队今天披露。
所有使用SQLite数据库的应用程序都容易受到Magellan 2.0的攻击;但是,“远程利用”的危险要小于Chrome中的危险,后者默认情况下的WebSQL API的功能使Chrome用户更容易受到远程攻击。
Magellan是什么?
就像去年同样由Blade安全团队所披露的原始的Magellan漏洞一样,这些新变化是由SQLite数据库从第三方接收到的SQL命令中的输入验证不正确引起的。
攻击者可以制作包含恶意代码的SQL操作。当SQLite数据库引擎读取此SQLite操作时,它可以代表攻击者执行命令。
在今天发布的安全公告中,腾讯Blade团队表示,Magellan 2.0漏洞可能导致“远程执行代码,泄漏程序内存或导致程序崩溃”。
脆弱性
使用SQLite数据库存储数据的所有应用程序都容易受到攻击,尽管默认情况下无法利用“通过Internet进行远程攻击”的媒介。为了能够被利用,该应用程序必须允许直接输入原始SQL命令,然而很少有应用程序允许这样做。
对于Google Chrome浏览器的用户来说,面临的是远程攻击的危险,Chrome浏览器使用内部SQLite数据库存储各种浏览器设置和用户数据。
这是因为Google Chrome浏览器附带了WebSQL,该API将JavaScript代码转换为SQL命令,然后针对Chrome的SQLite数据库执行该API。WebSQL是Chrome默认启用的,而且在Opera中也启用了WebSQL。
恶意网站可能利用Magellan 2.0漏洞对其使用Chrome的访问者运行恶意代码。但是,腾讯团队表示用户没有理由担心,因为他们已经将这些问题通知了Google和SQLite团队。
腾讯表示,五个Magellan 2.0漏洞已在两周前发布的Google Chrome 79.0.3945.79中修复。
SQLite项目还在2019年12月13日修复了一系列补丁中的BUG; 但是,这些修复程序尚未包含在稳定的SQLite分支中-仍为12月10日发布的v3.30.1。
No need to worry: SQLite and Google have already confirmed and fixed it and we are helping other vendors through it too. We haven’t found any proof of wild abuse of Magellan 2.0 and will not disclose any details now. Feel free to contact us if you had any technical questions! https://t.co/3hUro9URWf
— Tencent Blade Team (@tencent_blade) December 24, 2019
腾讯表示,尚未发现有任何针对Magellan 2.0漏洞的公开利用代码或攻击 。
但是,有些人可能不同意腾讯的决定。去年,当腾讯blade团队发布有关原始Magellan 漏洞的详细信息时,遭到SQLite创始人D.理查德·希普(D. Richard Hipp)的严厉批评。
希普当时说他们夸大了漏洞的影响,因为Magellan的攻击媒介无法为绝大多数依赖SQLite的应用程序导致远程执行代码(RCE)。
Reports of an RCE vulnerability in SQLite are greatly exaggerated. Some clever gray-hats found a way to get RCE using maliciously crafted SQL. So, IF you allow random internet users to run arbitrary SQL on your system, you should upgrade. Otherwise, you are not at risk.
— D. Richard Hipp (@DRichardHipp) December 15, 2018
尽管如此,主要由于WebSQL API的存在,在Chrome中仍可以执行远程代码执行(RCE)方案。
五个Magellan 2.0漏洞被跟踪为CVE-2019-13734,CVE-2019-13750,CVE-2019-13751,CVE-2019-13752和CVE-2019-13753。最初的Magellan漏洞被跟踪为CVE-2018-20346,CVE-2018-20505和CVE-2018-20506。
*编译整理:Domino
*参考来源:ZDNET