SQLite中的Magellan RCE漏洞可能会影响数十亿个应用程序

[注：文章为电子邮件安全专家Softnext守内安编译]

信息安全专家在SQLite数据库软件中发现了Magellan RCE漏洞，该漏洞暴露了数十亿个易受攻击的应用程序。

信息安全专家发现了SQLite数据库软件中的一个高危险漏洞，它将数十亿个易受攻击的应用程序暴露给黑客。

被追踪为『Magellan』的漏洞可能允许远程攻击者在易受攻击的设备上运行任意操作，泄漏程序内存或导致应用程序崩溃时出现DoS状态。

团队发布的博客文章：『Magellan是由腾讯Blade团队发现的远程代码运行漏洞，存在于SQLite中。作为一个著名的数据库，SQLite被广泛应用于所有现代主流操作系统和软件中，因此该漏洞具有广泛的影响。』

SQLite是一个广泛采用的关系数据库管理系统，包含在C语言的函数库中。与许多其他数据库管理系统不同，SQLite不是Client-Server数据库引擎。相反地，它嵌入到终端程序中。

数百万的应用程序使用SQLite进行数十亿次安装，Magellan可能会影响物联网设备，MacOS和Windows应用程序。

专家还对Chromium进行了测试并发现它也受到了影响，Google已经确认并解决了这个问题。

基于Chromium的网页浏览器（如Google Chrome、Opera、Vivaldi和Brave）也透过不再支持的Web SQL database API支持SQLite。

专家警告说，远程攻击者可能可以透过欺骗他们访问特制的网页轻松针对使用易受攻击浏览器的人。

文章继续提到：『在测试Chromium也易受此漏洞影响后，Google已经确认并修复了此漏洞。我们目前不会透露任何有关此漏洞的详细信息，我们正敦促其他供应商尽快修复此漏洞。』

SQLite版本3.26.0解决了Magellan的漏洞，Google发布了Chromium版本71.0.3578.80来修复此问题，并将修补后的Google Chrome和Brave浏览器版本推到最新版。

专家表示，他们利用Magellan漏洞创建一个概念验证漏洞攻击程序攻击Google Home。

专家们没有揭露该漏洞，以让开发团队解决有漏洞的应用程序。好消息是，专家还没有看到滥用Magellan漏洞的攻击。

用户和管理员必须尽快更新其系统和易受攻击的应用程序。

国际知名电子邮件安全专家Softnext守内安的邮件归档、邮件网关，对邮件进行加密、归档、审计管理，防病毒，层层过滤邮件威胁，降低企业被入侵风险。

Softnext守内安

微信号：Softnext