[English]Im Google Chrome (Chromium) Browser (und in anderer Software, die auf SQLite setzt) gab es einige Magellan 2.0 getaufte Schwachstellen in SQLite, die mit dem Update auf Chrome 79.0.3945.79 bzw. mit einem SQLite Code-Commit vom 13. Dezember 2019 geschlossen wurde.
Anzeige
Bei Magellan 2.0 handelt es sich um insgesamt fünf Schwachstellen, die in SQLite existieren (es gab bereits Magellan 1.0, die vor einiger Zeit gefunden wurden). Aufbauend auf den Erkenntnissen zu Magellan 1.0 haben Sicherheitsforscher vom Tencent Blade Team die neuen Schwachstellen, die eine Remote Code-Ausführung im Chromium-Renderprozess ermöglichen gefunden. Die Sicherheitsforscher haben diesen Beitrag zum Thema veröffentlicht.
Schwachstelle in SQLite
SQLite wird als Datenbank in allen modernen Mainstream-Betriebssystemen und in diverser –Software breit eingesetzt. Eine Schwachstelle in SQLite hat daher einen großen Impact. Die Sicherheitsforscher von Tencent Blade haben gleich fünf Schwachstellen entdeckt:
- CVE-2019-13734
- CVE-2019-13750
- CVE-2019-13751
- CVE-2019-13752
- CVE-2019-13753
Wenn eine Software SQLite als Komponente (ohne den neuesten Patch, der am 13. Dez. 2019 veröffentlicht wurde) verwendet, und externe SQL-Abfragen unterstützt werden, ist die Software angreifbar. Dann sind ein Remote Code Execution, ein Leck im Programmspeicher oder Programmabstürze möglich. Bisher haben die Sicherheitsforscher aber noch keinen öffentlichen Exploit gefunden, der diese Schwachstellen ausnutzt.
Wer Chrome vor 79.0.3945.79 mit aktiviertem WebSQL verwendet, ist möglicherweise ebenfalls betroffen. Andere Geräte wie PC/Mobilgeräte oder IoT-Geräte können ebenfalls betroffen sein, abhängig davon, ob es eine geeignete Angriffsfläche gibt.
Anzeige
Google Chrome 79.0.3945.79 fixt die Schwachstellen
Die Sicherheitsforscher von Tencent Blade haben Google alle Details der Schwachstellen gemeldet. Google hat die Schwachstellen behoben. Wer in einer Software Chromium verwendet, sollte dieses Programm auf die offizielle stabile Version 79.0.3945.79 ( Stable Channel Update for Desktop) aktualisieren.
SQLite habt diese Schwachstellen ebenfalls bestätigt und behoben. Falls ein Produkt SQLite verwendet, sollte dieses auf den neuesten SQLite Code-Commit aktualisiert werden.
Die Sicherheitsforscher veröffentlichen zu diesem Zeitpunkt keine Details über die Schwachstellen bekannt geben und drängen Anbieter, diese Schwachstelle so schnell wie möglich zu beheben. Weitere Details lassen sich in diesem Beitrag abrufen.
Anzeige
Aktuell ist doch 79.0.3945.88