ProHoster > Π‘Π»ΠΎΠ³ > xov xwm hauv internet > Vulnerability nyob rau hauv SQLite uas tso cai rau tej thaj chaw deb tawm tsam ntawm Chrome ntawm WebSQL

Vulnerability nyob rau hauv SQLite uas tso cai rau tej thaj chaw deb tawm tsam ntawm Chrome ntawm WebSQL

Cov kws tshawb fawb txog kev ruaj ntseg los ntawm Suav tuam txhab Tencent hais tawm tshiab vulnerability variant Magellan (CVE-2019-13734), uas tso cai rau koj kom ua tiav cov lej ua tiav thaum ua tiav SQL tsim tsim hauv ib txoj hauv kev hauv SQLite DBMS. Muaj qhov tsis zoo sib xws luam tawm los ntawm tib cov kws tshawb fawb ib xyoos dhau los. Qhov tsis zoo yog qhov tseem ceeb hauv qhov uas nws tso cai rau ib qho los tawm tsam Chrome browser thiab ua tiav kev tswj hwm tus neeg siv lub cev thaum qhib nplooj ntawv web tswj los ntawm tus neeg tawm tsam.

Qhov kev tawm tsam ntawm Chrome / Chromium yog ua los ntawm WebSQL API, tus tuav ntawm uas yog raws li SQLite code. Kev tawm tsam ntawm lwm daim ntawv thov tsuas yog ua tau yog tias lawv tso cai hloov pauv ntawm SQL tsim los ntawm sab nraud mus rau SQLite, piv txwv li, lawv siv SQLite ua ib hom kev sib pauv ntaub ntawv. Firefox tsis yooj yim vim Mozilla tsis kam los ntawm WebSQL qhov kev siv txiaj ntsig IndexedDB API.

Google kho qhov teeb meem hauv kev tso tawm Chrome 79. Muaj teeb meem hauv SQLite codebase tsau Kaum Ib Hlis 17, thiab hauv Chromium codebase - 21 Kaum Ib Hlis.
Qhov teeb meem yog tam sim no nyob rau hauv chaws FTS3 tag nrho cov ntawv tshawb fawb cav thiab los ntawm kev tswj cov duab ntxoov ntxoo (ib hom tshwj xeeb ntawm lub rooj virtual nrog kev sau ntawv) tuaj yeem ua rau qhov ntsuas kev noj nyiaj txiag thiab tsis muaj kev cuam tshuam. Cov ncauj lus kom ntxaws txog cov txheej txheem kev ua haujlwm yuav raug tshaj tawm tom qab 90 hnub.

Tshiab SQLite tso tawm nrog kho tam sim no tsis tsim (cia siab tias yuav 31 Lub Kaum Ob Hlis). Raws li kev ruaj ntseg workaround, pib nrog SQLite 3.26.0, SQLITE_DBCONFIG_DEFENSIVE hom tuaj yeem siv, uas cuam tshuam kev sau ntawv rau duab ntxoov ntxoo cov ntxhuav thiab pom zoo kom suav nrog thaum ua cov lus nug SQL sab nraud hauv SQLite. Hauv cov khoom siv faib khoom, qhov tsis zoo hauv lub tsev qiv ntawv SQLite tseem tsis raug kho Debian, Ubuntu, RHEL, openSUSE / SUSE, Arch Linux, Fedora, FreeBSD. Chromium nyob rau hauv tag nrho cov kev faib tawm twb tau hloov kho thiab tsis cuam tshuam los ntawm qhov tsis zoo, tab sis qhov teeb meem yuav cuam tshuam rau ntau yam browsers thib peb thiab cov ntawv thov uas siv lub cav Chromium, nrog rau cov ntawv thov hauv Android raws li Webview.

Tsis tas li ntawd, 4 qhov teeb meem tsis txaus ntshai kuj tau txheeb xyuas hauv SQLite (CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753), uas tuaj yeem ua rau cov ntaub ntawv xa tawm thiab kev hla kev txwv (tuaj yeem siv los ua qhov tseem ceeb rau kev tawm tsam ntawm Chrome). Cov teeb meem no tau kho hauv SQLite code thaum Lub Kaum Ob Hlis 13th. Ua ke, cov teeb meem tau tso cai rau cov kws tshawb fawb los npaj kev ua haujlwm ua haujlwm uas tso cai rau kev ua tiav hauv cov ntsiab lus ntawm cov txheej txheem Chromium lub luag haujlwm rau kev ua haujlwm.

Tau qhov twg los: opennet.ru

Ntxiv ib saib