SQLite muhim zaifliklarni yamaydi
Muammo minglab ish stoli va mobil ilovalarga tahdid solmoqda.
Mashhur SQLite o’rnatilgan ma’lumotlar bazasini boshqarish tizimidagi zaiflik minglab ish stoli va mobil ilovalarni xavf ostiga qo’yadi. Tencent Blade tadqiqotchilari tomonidan aniqlangan muammo zararli kodni maqsadli kompyuterda bajarishga imkon beradi. Unchalik jiddiy bo’lmagan holatlarga xotira oqishi va dasturning ishdan chiqishi kiradi. Brauzer SQLite va ekspluatatsiya kodini SQL sintaksisiga o’zgartiradigan Web SQL API-ni qo’llab-quvvatlasa, zaiflikdan masofadan turib faqat veb-sahifa yordamida foydalanish mumkin. Masalan, Firefox va Edge bu API-ni qo’llab-quvvatlamaydi, lekin ochiq kodli Chromium dvigateli qo’llab-quvvatlaydi. Bu shuni anglatadiki, Google Chrome, Vivaldi, Opera, Brave va boshqa Chromium asosidagi brauzerlar zaifdir. Brauzerlar asosiy hujum yuzasi bo’lsa-da, tajovuzkorlar hatto zaiflikdan Google Home orqali ham foydalanishlari mumkin.
Tadqiqotchilar bu kuzda SQLite ishlab chiquvchilariga muammo haqida xabar berishdi. 1-dekabr kuni SQLite 3.26.0 bilan tuzatish chiqarildi. Biroz vaqt o’tgach, yamoq Chromiumga ko’chirildi, shuning uchun Google Chrome 71 va Vivaldi va Brave ning yangi versiyalari endi zaiflikni o’z ichiga olmaydi. Opera hali ham dvigatelning eski versiyasida ishlaydi va zaifligicha qolmoqda.
Firefox Web SQL-ni qo’llab-quvvatlamasa ham, brauzer hali ham zaif, chunki u mahalliy kirish mumkin bo’lgan SQLite ma’lumotlar bazasidan foydalanadi. Boshqacha qilib aytganda, mahalliy tajovuzkor undan kodni bajarish uchun foydalanishi mumkin.
Zaiflikka CVE identifikatori berilmagan, shuning uchun tadqiqotchilar uni Magellan kod nomi bilan atashdi.
