研究人员发现，SQLite存在远程代码执行漏洞Magellan，黑客可远程执行任意代码，泄露程序内存，并发动DoS拒绝服务攻击，所有基于SQLite和Chromium的软件、浏览器均受影响。

图片来源于创客贴

该漏洞由国家信息安全漏洞共享平台（CNVD）发布公告进行预警，被追踪为CNVD-2018-24855。黑客可调用Web SQL API触发该漏洞，修改数据库表，也可通过SQLite数据库索引操作触发漏洞，在浏览器Render进程中执行远程代码。

据悉，SQLite是一款基于磁盘的关系数据库管理系统，几乎可与所有设备、平台和编程语言兼容。截至目前，已有数百万应用程序使用SQLite完成了数十亿次安装，众多物联网设备、Windows应用程序、mac OS及Web浏览器易受影响。

图片来源于pixabay

此外，由于Chromium开源浏览器引擎支持Web SQL API，因此，所有基于Chromium的浏览器，包括Google Chrome、Vivaldi、Opera和Brave等主流浏览器也将受到影响。

截至目前，Google和SQLite已修复该漏洞，但由于多数应用程序无法在短时间内将其修复，研究人员将不会向公众披露该漏洞的技术细节和PoC代码。专家建议用户尽快将Chromium及SQLite更新至最新版本，禁用Web SQL API，并关闭SQLite中的fts3以保护设备。

图片来源于pixabay

来源：http://u6.gg/gyFwj,“ISEC安全e站”独家编译，转载请注明出处及本文链接。