SQLite爆出安全漏洞：多數(shù)瀏覽器及應用軟件皆受沖擊

12月17日消息，根據(jù)外媒報道，騰訊下屬安全團隊Blade近日發(fā)現(xiàn)SQLite數(shù)據(jù)庫存在一個安全漏洞，此漏洞的存在間接導致黑客可以通過運行惡意代碼，遠程影響使用者的電腦，還會導致程序內存泄露及崩潰。而SQLite數(shù)據(jù)庫是作為Android和IOS軟件應用開發(fā)的常用數(shù)據(jù)庫，并大范圍應用到瀏覽器API中，所以此次的安全漏洞可能波及到的范圍極大。

由于SQLite被嵌入到數(shù)千款應用中，因此這個漏洞會影響許多軟件，范圍涵蓋物聯(lián)網(wǎng)設備和桌面軟件，甚至包括網(wǎng)絡瀏覽器到Android和iOS應用。并且只要瀏覽器支持SQLite和Web SQL API，從而將破解代碼轉變成常規(guī)的SQL語法，黑客便可在用戶訪問網(wǎng)頁時對其加以利用。

火狐和Edge并不支持這種API，但基于Chromium的開源瀏覽器都支持這種API。也就是說，谷歌Chrome、Vivaldi、Opera和Brave都會受到影響。

不光網(wǎng)絡瀏覽器會遭受攻擊，其他應用也會受到影響。例如，Google Home就面臨安全威脅。騰訊Blade團隊在本周的報告中寫道：“我們借助這個漏洞成功利用了Google Home。”

騰訊Blade研究人員表示，他們曾在今年秋初向SQLite團隊報告過這個問題，12月1日已經通過SQLite 3.26.0發(fā)送了補丁。上周發(fā)布的谷歌Chrome 71也已經修補該漏洞。

Vivaldi和Brave等基于Chromium的瀏覽器都采用最新版本的Chromium，但Opera仍在運行較老版本的Chromium，因此仍會受到影響。

雖然并不支持Web SQL，但火狐也會受到這個漏洞的影響，原因在于他們使用了可以在本地訪問的SQLite數(shù)據(jù)庫，因此本地攻擊者也可以使用這個漏洞執(zhí)行代碼。

Check Point研究員艾亞爾·伊特金(Eyal Itkin)也指出，該漏洞還需要攻擊者能夠發(fā)出任意的SQL指令，從而破壞數(shù)據(jù)庫并觸發(fā)漏洞，因而會大幅減少受影響的漏洞數(shù)量。

但即使SQLite團隊發(fā)布補丁，很多應用仍會在今后幾年面臨威脅。原因在于：升級所有桌面、移動或網(wǎng)頁應用的底層數(shù)據(jù)庫引擎是個危險的過程，經常導致數(shù)據(jù)損壞，所以多數(shù)程序員都會盡可能向后推遲。

也正因如此，騰訊Blade團隊在發(fā)布概念驗證攻擊代碼時會盡可能保持謹慎。