SQLite爆重大漏洞! 数百万App和IoT装置资料安全拉警报

研究人员发现，广泛为App、Chromium浏览器或IoT装置使用的SQLite数据库，存在一项重大漏洞，可能让骇客远端执行程式码。Google及SQLite官方已紧急修补漏洞。

首先发现这只漏洞的腾讯旗下Blade安全研究部门将之命名为Magellan（麦哲伦）。基于SQLite应用范围之广泛，并未透露漏洞的技术细节，但表示该漏洞可以诱使用户以浏览器造访特定网页而远端触发，导致程式码执行、应用程序内存泄露或让App当掉。

SQLite是一开源轻量关联数据库，对操作系统或外部函式库支援的需求很小，因此可广泛用于各种装置或应用，包括物联网装置、Windows、macOS App，如Adobe Flash或Skype，甚至一系列Chromium浏览器，涵括Google Chrome、Opera、Vivaldi、Brave等，也可以经由Web SQL 数据库API支援SQLite。这使得Magellan漏洞可能影响上百万款App,以及不计其数的PC与物联网装置。

在此同时，研究人员已针对Magellan制作出概念验证攻击程式，也已成功入侵Google Home。所幸尚未发现有实际的攻击程式在网络上流行。

目前，相关资安研究人员已经将Magellan通报Google，后者也已紧急修复此漏洞。如果用户用的是Chromium-based浏览器，应升级到71.0.3578.80版。而Google也在本月初，释出最新版Chrome 71。

SQLite官方也已修补了漏洞，并释出更新版3.26.0。