据报道，由腾讯刀锋安全团队发现的一个新的SQLite数据库漏洞可能会影响到数千款常用的桌面和移动应用程序，包括谷歌Chromium浏览器。具体而言，该漏洞允许攻击者在受害者的计算机上运行恶意代码，并可能会导致 内存泄露 或应用程序崩溃。

SQLite 是一种轻量级数据库，支持Windows、Linux和 Unix 等主流操作系统，且能够与多种编程语言（如 Tcl、C#、PHP和 Java 等）结合使用。相比主流 数据库管理系统 Mysql和 PostgreSQL 而言，它的处理速度要更快。

因此，SQLite目前已经被数千款应用程序所采用，不仅包括桌面应用程序，还包括Android和iOS移动应用程序。这也就意味着，这个新的SQLite数据库漏洞的影响范围将极为广泛，特别是网页浏览器。

根据刀锋团队的说法，只要用户所使用的浏览器（无论是桌面还是移动应用程序）支持SQLite，以及能够将漏洞利用代码转换成常规SQL语法的Web SQL API，攻击者就可以在用户访问网页时对该漏洞进行远程利用。

需要指出的是，Firefox和 Edge 并不支持这个API，但并不包括基于 Chromium 的开源浏览器。也就是说，谷歌 Chrome 、 Vivaldi 、 Opera 和Brave都会受到影响。经过测试，在Android 5.1和9上运行的Chrome 70.0.3538.110和在MacOS 10.14上运行的Electron 2.0.12，都会导致一个选项卡/一个窗口崩溃。

如上所述，受影响的不止是网页浏览器，其他应用程序同样也会受到影响。例如，Google Home（一种智能家居设备，可以通过语音控制家庭设备）就是其中一个例子。刀锋团队在其报告中写道：“是的，我们成功地使用此漏洞攻破了Google Home，目前我们还没有计划披露漏洞利用代码。”

刀锋团队表示，他们在今年秋初就已经向SQLite官方通报了这个问题。在本月1日，SQLite官方也已经通过SQLite 3.26.0发布了补丁，而在上周发布的谷歌Chrome 71也已经修复了该漏洞。

类似Vivaldi和Brave这样的基于Chromium的开源浏览器目前采用的都是最新版本的Chromium，因此最新的版本不会受到影响。但Opera仍在运行老旧版本的Chromium，因此即使是最新的版本也仍然会受到影响。虽然并不支持Web SQL，但Firefox也会受到影响，原因在于它附带了一个本地可访问的SQLite数据库，这意味着本地攻击者可以利用此漏洞来执行代码等。

不过，来自网络安全公司Check Point的研究员Eyal Itkin指出，想要成功利用这个漏洞，需要攻击者能够发出任意的SQL指令以破坏数据库并触发漏洞。因此，实际受影响的应用程序数量相对来说要少得多。

虽然SQLite官方已经发布了补丁，但很多应用程序在今后的几年时间里仍然会很容易受到攻击。这是由于升级桌面、移动或网页应用程序的底层数据库引擎是一个繁琐的过程，并且经常会导致数据损坏。因此，大多数应用程序开发人员都会尽可能推迟更新升级。

也是因为这个原因，刀锋团队表示暂时不会发布任何概念验证漏洞利用代码。尽管如此，其他安全研究人员已经开始对SQLite补丁进行 逆向工程 ，以了解该漏洞的工作原理。

目前，此漏洞尚未获得CVE编号，刀锋团队已将其命名为“Magellan”。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。