近日,腾讯安全平台部刀锋团队在工作中发现,SQLite存在一组名为"麦哲伦"的漏洞,利用这组漏洞,攻击者可以在用户设备上远程运行恶意代码,导致用户隐私数据泄漏或设备被控制。根据SQLite官方记录,这组漏洞可能已经存在8年之久,影响范围极大,搭载安卓、苹果和微软系统在内的大部分设备或受影响。
腾讯安全平台部刀锋团队通过人工代码审计与自动化测试时发现,SQLite存在3个缓冲区溢出类型漏洞,可以导致代码执行,而且根据使用SQLite的软件不同,攻击者可能发起远程攻击,也可能发起本地攻击。SQLite作为一个基础的轻量级数据库,广泛在各类操作系统中使用。例如google home音箱内部使用了chrome浏览器,而chrome就使用了SQLite,安全团队通过WIFI向Google Home音箱推送恶意网页,在不接触硬件的情况下就攻击了google home,获取了设备的控制权。
腾讯安全平台部刀锋团队高级安全研究员钱文祥称:“如果用户使用了没有修复漏洞的浏览器或者APP,一个很常见的场景就是扫描二维码,然后打开攻击者的网站,攻击者就可以远程在用户的浏览器或者APP里执行任意命令,攻击者的权限和浏览器或者APP的权限是一样的,比如可以窃取用户的隐私或者在里面执行攻击者的脚本。”
此漏洞影响极其广泛,除日常使用的设备如苹果的iphone,ipad和安卓系统手机等终端外,大多数国内基于chromium项目开发的浏览器也都受到影响。目前,各大公司已经发布了漏洞修复补丁,腾讯安全平台部刀锋团队提醒用户及时关注系统与软件的更新通知。
腾讯安全平台部刀锋团队高级安全研究员伍惠宇表示:“90%以上的手机电脑浏览器都会受影响,大部分厂商已经发布了安全更新来修复漏洞,对于普通用户来说大家只要及时关注厂商推送的更新包,进行更新避免受到漏洞影响,对开发者来说建议他们开发应用时使用最新版本的SQLite来进行开发。”
(看看新闻Knews记者:陈俊杰 编辑:范燕菲)