漏洞预警 | CNVD-2018-24855:SQLite远程代码执行漏洞

 

 

CNVD-2018-24855:SQLite 远程代码执行漏洞

今日CNVD(国家信息安全漏洞共享平台)发布安全通告,对腾讯安全平台部Blade团队发现报告的SQLite远程代码执行漏洞进行了预警。此漏洞可实现远程代码执行,具体的漏洞细节尚未公开。

 

漏洞相关信息

漏洞由腾讯Blade团队发现并报告,目前命名为Magellan(麦哲伦),经Blade团队测试Chromium浏览器会受到影响,Google和SQLite也已经确认并修复了漏洞。

漏洞可利用调用Web SQL API触发,修改数据库表,并利用SQLite数据库索引操作触发漏洞,在浏览器Render进程中实现远程代码执行。

使用SQLite的其他应用也可通过类似方式在相应进行中实现远程代码执行。

目前CNVD对此漏洞评级为高危。

 

漏洞影响

Chromium低于71.0.3578.80版本

SQLite低于3.26.0版本

 

漏洞修复

1.将Chromium及SQLite更新至最新版本。

2.禁用Web SQL API、关闭SQLite中的fts3。

 

漏洞公告

http://www.cnvd.org.cn/webinfo/show/4803

 

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐