星空网站目录平台免费收录优秀网站,为了共同发展免费收录需做上本站友情链接,星空网站目录平台的站长才会审核收录,不做链接提交一律不审核,为了避免浪费时间:收录必看!!!
  • 收录网站:126
  • 快审网站:10
  • 待审网站:95
  • 文章:20255
当前位置:主页 > 新闻速递 > “谷歌浏览器受新的Magellan 2.0漏洞影响”

“谷歌浏览器受新的Magellan 2.0漏洞影响”

发布日期:2021-06-23 17:12:01 浏览:

一组新的sqlite漏洞允许攻击者在世界上最流行的web浏览器google chrome上执行恶意代码。

该漏洞有5个,称为麦哲伦2.0,由腾讯刀片式服务器安全团队于今天公布。

所有使用sqlite数据库的APP都容易受到magellan 2.0的攻击,但是远程使用的风险低于chrome的风险,后者缺省情况下通过称为websql api的功能让chrome的客户进行远程使用

麦兰有那些洞吗?

同年,腾讯刀片安全团队在去年12月公布第一批麦哲伦sqlite漏洞后,正好一年零一周后公布了麦哲伦2.0。

与原麦哲伦的漏洞一样,这些新的更改是由于sqlite数据库未能正确输入和验证从第三方收到的sql命令而引起的。

攻击者可以创建包含恶意代码的sql操作。 sqlite数据库引擎读取此sqlite操作后,可以代替攻击者执行命令。

在今天发布的安全公告中,腾讯刀片式服务器团队表示麦哲伦2.0的漏洞可能导致远程执行代码,泄露程序内存,崩溃程序。

脆弱性和脆弱性

所有使用sqlite数据库存储数据的APP在缺省情况下都容易受到攻击,尽管通过互联网进行远程攻击的介质不可用。 为了能够使用,APP应用程序必须能够直接键入原始的sql命令,但是很少有APP应用程序允许这样做。

google chrome浏览器的客户面临远程攻击的危险,chrome浏览器使用内部sqlite数据库存储各种浏览器设置和客户数据。

这是因为谷歌铬浏览器附带了websql。 此api将javascript代码转换为sql命令,然后与chrome的sqlite数据库进行比较以运行api。 的websql默认启用了chrome,并且在歌剧中。

恶意站点可能会利用magellan 2.0中的漏洞对chrome访问者执行恶意代码。 但腾讯团队表示,没有理由担心,因为客户已经将这些问题通知了谷歌和sqlite团队。

腾讯称,5个麦哲伦2.0漏洞在两周前公布的谷歌铬79.0.3945.79中得到了修复。

sqlite项目于2019年12月13日修复了一系列修补程序错误; 但是,这些修复程序尚未包含在稳定的sqlite分支中。 仍然是12月10日发布的v3.30.1。

腾讯表示,不知道有与magellan 2.0漏洞相比的公开使用代码和攻击。 这家中国公司表示,计划在未来几个月内发布更多关于这两个错误的详细新闻,但今天的发布只包含发现的概要,因此APP开发者应事先了解并轻松更新APP附带的sqlite版本 。

“谷歌浏览器受新的Magellan 2.0漏洞影响”

但是,一些人可能不同意这家中国企业的决定。 去年,腾讯刀片发布原始麦哲伦漏洞详细消息时,该公司为sqlite创始人d .理查德·; 西普( d. richard hipp )的严厉批评。

西普说,这家中国企业夸大了原始脆弱性的影响。 这是因为麦兰的攻击媒体无法为依赖于sqlite的大部分APP引发远程执行代码( rce )。

如西普所说,他对年份的注意对2019年的麦哲伦2.0还有效。 使用sqlite数据库的大多数APP不会受到远程麦哲伦2.0攻击的影响。

尽管如此,主要由于websql api的存在,chrome可以执行远程代码执行( rce )方案。

本文:《“谷歌浏览器受新的Magellan 2.0漏洞影响”

免责声明:星空分类目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,星空网站目录平台不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站将予以删除。