如果您最近沒有更新瀏覽器,現在是時候進行更新了。騰訊安全的安全研究人員發現 SQLite 中的一個嚴重缺陷,SQLite 是一個整合到數千個桌面和行動應用程式中的資料庫。
受洗《麥哲倫》,此漏洞允許攻擊者遠端執行任意程式碼,從而控制底層系統。只有接受任何 SQL 查詢的應用程式才容易受到此類攻擊。 Chrome 及其基於 Chromium 的同類產品正是如此,因為它們整合了 SQL Web 程式設計接口,而且還整合了 Firefox,後者嵌入了 SQLite 資料庫。
一個可能持續的錯誤
好消息是SQLite更新已經可用。它已反映在最新版本的 Chrome、Brave 和 Vivaldi 中,但尚未反映在 Opera 或 Firefox 中。谷歌也發布了其家庭連接揚聲器的補丁。
所有其他應用程式整合 SQLite 資料庫的情況是不確定的。一般來說,開發人員總是需要很長時間來更新應用程式的內部元件,這個缺陷可能會讓我們忙上幾個月甚至幾年。
如果應用程式沒有直接將 SQL 查詢傳輸到資料庫,那麼風險顯然是有限的。但目前,很難從穀殼中篩選出小麥。這完全取決於應用程式的程式設計方式。作為用戶,您唯一能做的就是盡快更新您的軟體。
有鑑於這種情況,騰訊研究人員決定不提供漏洞的技術細節,也沒有公佈他們在研究過程中開發的漏洞程式碼。然而,駭客肯定已經開始分析該補丁,透過逆向工程發現缺陷的確切來源。所以他們發動攻擊只是時間問題。
