麦哲伦2.0来袭,再曝五个SQLite漏洞

麦哲伦2.0来袭,再曝五个SQLite漏洞

黑客平台访客2021-10-11 13:39:0011424A+A-

继麦哲伦1.0 (Magellan 1.0) 曝光三个 SQLite 漏洞后,近日腾讯 Blade 安全团队公布了 Google Chrome 浏览器的五个新漏洞,攻击者可以利用这些漏洞来远程执行代码。

SQLite 是全球最受欢迎的轻量级数据库之一,尤其是在嵌入式设备中,SQLite 比 MySQL、SQL Server 资源占用少,执行效率高,自带数据库引擎。因此,腾讯 Blade 发现的 SQLite 漏洞,其影响范围非常大,波及大量嵌入式物联网设备、桌面软件(Chrome浏览器)和 Android/iOS 应用。

腾讯Blade团队将新一批五个漏洞命名为麦哲伦2.0(CVE代码:CVE-2019-13734,CVE-2019-13750,CVE-2019-13751,CVE-2019-13752,CVE-2019-13753)Blade 团队表示他们可以通过这五个漏洞成功利用 Chrome 浏览器。根据这些漏洞的 CVE Mitre 描述,攻击者可以通过精心制作的 HTML 页面远程利用这些漏洞来发起一系列恶意攻击,包括允许攻击者执行 “绕过深度防御措施” 到 “从进程内存中获取潜在敏感信息” 的任何操作。

腾讯研究人员在本周的一份报告中说:如果您的软件使用 SQLite 作为组件(没有最新的补丁程序),并且支持外部 SQL 查询;或者,如果您使用的 79.0.3945.79 之前的 Chrome 并启用了 WebSQL,都可能会受到影响。

我们已经向Google报告了该漏洞的所有详细信息,如果您的产品使用Chromium,请更新到官方稳定版本79.0.3945.79。如果您的产品使用SQLite,请更新到最新的代码提交。

遵循 “负责任的漏洞披露程序”,Blade 安全人员表示不会在漏洞报告发布 90 天后披露该漏洞的更多详细信息。

麦哲伦漏洞已于 2019 年 11 月 16 日报告给 Google 和 SQLite; Google 在 2019 年 12 月 11 日发布了官方固定的 Chrome 版本:79.0.3945.79。

据研究人员透露,他们尚未看到麦哲伦 2.0 在野外被利用。

Magellan2.0 漏洞报告:

https://blade.tencent.com/magellan2/index_en.html

桌面端更新:

https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop.html

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 辙弃栖迟2022-06-03 16:36:45
  • 报告中说:如果您的软件使用 SQLite 作为组件(没有最新的补丁程序),并且支持外部 SQL 查询;或者,如果您使用的 79.0.3945.79 之前的 Chrome 并启用了 WebSQL,都可能会受到影响
  • 掩吻独语2022-06-03 08:24:56
  • 报告:https://blade.tencent.com/magellan2/index_en.html桌面端更新:https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-de
  • 痴者鸽屿2022-06-03 15:14:48
  • 如果您的产品使用Chromium,请更新到官方稳定版本79.0.3945.79。如果您的产品使用SQLite,请更新到最新的代码提交。遵循 “负责任的漏洞披露程序”
  • 听弧猫爷2022-06-03 11:16:34
  • 网设备、桌面软件(Chrome浏览器)和 Android/iOS 应用。腾讯Blade团队将新一批五个漏洞命名为麦哲伦2.0(CVE代码:CVE-2019-13734,CVE-2019-13750,CVE-2019-13751

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理