في نظام إدارة قواعد البيانات SQLite (CVE-2019-5018)، والذي يسمح لك بتنفيذ التعليمات البرمجية الخاصة بك على النظام إذا كان من الممكن تنفيذ استعلام SQL تم إعداده بواسطة مهاجم. المشكلة ناتجة عن خطأ في تنفيذ وظائف النافذة وتظهر بدءاً من الفرع . وهن في عدد أبريل مع عدم وجود ذكر صريح لإصلاح المشكلات الأمنية.
يمكن أن يؤدي استعلام SQL SELECT المصمم خصيصًا إلى الوصول إلى الذاكرة بعد الاستخدام مجانًا، والذي من المحتمل أن يستخدم لإنشاء استغلال لتنفيذ تعليمات برمجية في سياق تطبيق يستخدم SQLite. يمكن استغلال الثغرة الأمنية إذا كان التطبيق يسمح بتمرير بنيات SQL القادمة من الخارج إلى SQLite.
على سبيل المثال، من المحتمل تنفيذ هجوم على متصفح Chrome والتطبيقات باستخدام محرك Chromium، حيث يتم تنفيذ WebSQL API أعلى SQLite والوصول إلى نظام إدارة قواعد البيانات هذا لمعالجة استعلامات SQL من تطبيقات الويب. للهجوم، يكفي إنشاء صفحة تحتوي على كود JavaScript ضار وإجبار المستخدم على فتحها في متصفح يعتمد على محرك Chromium.
المصدر: opennet.ru