漏洞预警 | CNVD-2018-24855:SQLite远程代码执行漏洞

阅读量390077

|评论4

发布时间 : 2018-12-11 15:30:51

 

 

CNVD-2018-24855:SQLite 远程代码执行漏洞

今日CNVD(国家信息安全漏洞共享平台)发布安全通告,对腾讯安全平台部Blade团队发现报告的SQLite远程代码执行漏洞进行了预警。此漏洞可实现远程代码执行,具体的漏洞细节尚未公开。

 

漏洞相关信息

漏洞由腾讯Blade团队发现并报告,目前命名为Magellan(麦哲伦),经Blade团队测试Chromium浏览器会受到影响,Google和SQLite也已经确认并修复了漏洞。

漏洞可利用调用Web SQL API触发,修改数据库表,并利用SQLite数据库索引操作触发漏洞,在浏览器Render进程中实现远程代码执行。

使用SQLite的其他应用也可通过类似方式在相应进行中实现远程代码执行。

目前CNVD对此漏洞评级为高危。

 

漏洞影响

Chromium低于71.0.3578.80版本

SQLite低于3.26.0版本

 

漏洞修复

1.将Chromium及SQLite更新至最新版本。

2.禁用Web SQL API、关闭SQLite中的fts3。

 

漏洞公告

http://www.cnvd.org.cn/webinfo/show/4803

 

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/167712

安全KER - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66