騰訊發現SQLite漏洞 將影響數千個應用程式
2025-03-08 12:25:24
12月17日消息,據外媒ZDNet報導,騰訊Blade安全團隊發現,SQLite存在漏洞,黑客可以利用它從而在用戶的計算機上運行惡意代碼,這會洩漏程序內存或導致程序崩潰。SQLite嵌入在數千個應用程式中,這些程序都會受到影響,包括Web瀏覽器、Android和iOS應用程式等。
騰訊Blade安全團隊表示,如果底層瀏覽器支持SQLite和將漏洞利用代碼轉換為常規SQL語法的Web SQL API,就可以通過訪問像網頁這樣簡單的東西來遠程利用此漏洞。火狐和Edge不支持此API,但基於Chromium的瀏覽器引擎支持此API。這意味著像Chrome,Vivaldi,Opera和Brave等都會受到影響。
據了解,騰訊Blade安全團隊於今年秋季初就已經向SQLite團隊報告了此問題。12月1,修復程序通過SQLite 3.26.0發布,並且於上周谷歌發布的Chrome 71版本加入到了Chromium內部。
雖然SQLite團隊已經發布修復程序,但許多應用程式在未來幾年仍然有可能遭受攻擊。在移動或使用Web應用程式時,可能會導致數據損壞,進而繼續出現漏洞。應用程式開發人員很少更新應用程式的組件部分,因此這個漏洞多年來一直存在。
基於這個原因,騰訊Blade安全團隊表示暫時不會發布任何有關如何驗證漏洞的代碼。不過,其他安全研究人員已經開始梳理SQLite補丁以對其進行逆向工程,並了解漏洞是如何工作的。
此SQLite漏洞尚未收到CVE編號,騰訊Blade安全團隊暫將其稱為「麥哲倫」。
