近日，腾讯 Blade 安全团队发现SQLite 中存在一个影响数千应用的漏洞，受害应用包括所有基于 Chromium 的浏览器。该漏洞允许攻击者在受害者的计算机上运行恶意代码，并泄漏程序内存或导致程序崩溃。

SQLite，第一个Alpha版本诞生于2000年5月，是一款轻型，遵守ACID的关系型数据库管理系统，包含在一个相对小的C库中。占用资源非常低，在嵌入式设备中，可能只需要几百K的内存就够了。

它能够支持Windows/Linux/Unix等主流操作系统，同时能够跟很多程序语言相结合，比如 Tcl、C#、PHP、Java等，还有ODBC接口。与Mysql、PostgreSQL这两款开源的世界著名数据库管理系统相比，它的处理速度更快。

目前，此SQLite漏洞尚未收到CVE标识号，暂将其命名为“Magellan”(麦哲伦)。

由于 SQLite 嵌入在数千个应用程序中，因此该漏洞会影响各种软件，包括物联网设备、桌面软件、Web 浏览器、Android 与 iOS应用。不光网络浏览器会遭受攻击，其他产品和应用也会受到影响。例如，Google Home就面临安全威胁。

如果底层浏览器支持 SQLite 和 Web SQL API，那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API，这意味着像 Chrome、Vivaldi、Opera和 Brave 等浏览器都会受到影响，而 Firefox 和 Edge 由于不支持此 API，因此不受影响。

但另一方面，虽然 Firefox 不支持 Web SQL API，不会受到远程利用攻击，但是其自带了一个本地可访问的SQLite 数据库，这意味着本地攻击者可能利用此漏洞来执行代码。

Check Point研究员艾亚尔·伊特金（EyalItkin）也指出，该漏洞还需要攻击者能够发出任意的SQL指令，从而破坏数据库并触发漏洞，因而会大幅减少受影响的漏洞数量。

ZDNet 表示，由于开发者很少更新代码库及其应用的组件部分，因此很可能这个漏洞在接下来几年内还会持续产生影响。

安全研究人员表示，他们在今年秋季早些时候向 SQLite 团队报告了此问题，SQLite 3.26.0 中进行了修复。Chrome 71 已经解决了该问题，但是 Opera 的 Chromium 版本还没有更新，这意味着它很可能还会受到影响。

尽管如此，其他安全研究人员已经开始梳理SQLite补丁以对其进行逆向工程，并了解漏洞是如何工作的。

但即使SQLite团队发布补丁，很多应用仍会在今后几年面临威胁。原因在于：升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程，经常导致数据损坏，所以多数程序员都会尽可能向后推迟。

建议使用Chromium系产品的团队，尽快更新至官方稳定版本71.0.3578.80，如果使用产品中涉及SQLite，请更新到3.26.0.

另外，如暂时没有条件采用官方提供的修补方案，也有一些应急建议方案：

1）关闭SQLite中的fts3功能；

2）禁用WebSQL：编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范，目前仅有Chrome、Safari支持。

最后，验证方法：重新编译后的内核应无法在控制台调用openDatabase函数。

参考来源：

• cnbeta

• 量子位

     往期热门资讯：        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com