CNVD-2018-24855:SQLite 远程代码执行漏洞
今日CNVD(国家信息安全漏洞共享平台)发布安全通告,对腾讯安全平台部Blade团队发现报告的SQLite远程代码执行漏洞进行了预警。此漏洞可实现远程代码执行,具体的漏洞细节尚未公开。
漏洞相关信息
漏洞由腾讯Blade团队发现并报告,目前命名为Magellan(麦哲伦),经Blade团队测试Chromium浏览器会受到影响,Google和SQLite也已经确认并修复了漏洞。
漏洞可利用调用Web SQL API触发,修改数据库表,并利用SQLite数据库索引操作触发漏洞,在浏览器Render进程中实现远程代码执行。
使用SQLite的其他应用也可通过类似方式在相应进行中实现远程代码执行。
目前CNVD对此漏洞评级为高危。
漏洞影响
Chromium低于71.0.3578.80版本
SQLite低于3.26.0版本
漏洞修复
1.将Chromium及SQLite更新至最新版本。
2.禁用Web SQL API、关闭SQLite中的fts3。
漏洞公告
http://www.cnvd.org.cn/webinfo/show/4803
发表评论
您还未登录,请先登录。
登录