漏洞预警 | CNVD-2018-24855:SQLite远程代码执行漏洞

 

 

CNVD-2018-24855:SQLite 远程代码执行漏洞

今日CNVD(国家信息安全漏洞共享平台)发布安全通告,对腾讯安全平台部Blade团队发现报告的SQLite远程代码执行漏洞进行了预警。此漏洞可实现远程代码执行,具体的漏洞细节尚未公开。

 

漏洞相关信息

漏洞由腾讯Blade团队发现并报告,目前命名为Magellan(麦哲伦),经Blade团队测试Chromium浏览器会受到影响,Google和SQLite也已经确认并修复了漏洞。

漏洞可利用调用Web SQL API触发,修改数据库表,并利用SQLite数据库索引操作触发漏洞,在浏览器Render进程中实现远程代码执行。

使用SQLite的其他应用也可通过类似方式在相应进行中实现远程代码执行。

目前CNVD对此漏洞评级为高危。

 

漏洞影响

Chromium低于71.0.3578.80版本

SQLite低于3.26.0版本

 

漏洞修复

1.将Chromium及SQLite更新至最新版本。

2.禁用Web SQL API、关闭SQLite中的fts3。

 

漏洞公告

http://www.cnvd.org.cn/webinfo/show/4803

 

(完)