ProHoster > Π‘Π»ΠΎΠ³ > xov xwm hauv internet > Vulnerability nyob rau hauv SQLite uas tso cai rau tej thaj chaw deb tawm tsam ntawm Chrome ntawm WebSQL

Vulnerability nyob rau hauv SQLite uas tso cai rau tej thaj chaw deb tawm tsam ntawm Chrome ntawm WebSQL

Cov kws tshawb fawb txog kev ruaj ntseg los ntawm Suav tuam txhab Tencent hais tawm Π½ΠΎΠ²Ρ‹ΠΉ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ уязвимости Magellan (CVE-2019-13734), ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅ΠΉ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ выполнСния ΠΊΠΎΠ΄Π° ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ Π² Π‘Π£Π‘Π” SQLite ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹ΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ ΠΎΡ„ΠΎΡ€ΠΌΠ»Π΅Π½Π½Ρ‹Ρ… SQL-конструкций. ΠŸΠΎΡ…ΠΎΠΆΠ°Ρ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π±Ρ‹Π»Π° luam tawm Ρ‚Π΅ΠΌΠΈ ΠΆΠ΅ исслСдоватСлями Π³ΠΎΠ΄ Π½Π°Π·Π°Π΄. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½Π° Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ позволяСт ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Ρ‚ΡŒ Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ Chrome ΠΈ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ получСния контроля Π½Π°Π΄ систСмой ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΏΡ€ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΈΠΈ ΠΏΠΎΠ΄ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½Ρ‹Ρ… Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ web-страниц.

Атака Π½Π° Chrome/Chromium осущСствляСтся Ρ‡Π΅Ρ€Π΅Π· API WebSQL, ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ основываСтся Π½Π° ΠΊΠΎΠ΄Π΅ SQLite. Атака Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΠ΅ прилоТСния Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Π° Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ссли ΠΎΠ½ΠΈ Π΄ΠΎΠΏΡƒΡΠΊΠ°ΡŽΡ‚ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ Π² SQLite SQL-конструкций, ΠΏΠΎΡΡ‚ΡƒΠΏΠ°ΡŽΡ‰ΠΈΡ… ΠΈΠ·Π²Π½Π΅, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ SQLite Π² качСствС Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π° для ΠΎΠ±ΠΌΠ΅Π½Π° Π΄Π°Π½Π½Ρ‹ΠΌΠΈ. Firefox уязвимости Π½Π΅ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ компания Mozilla tsis kam ΠΎΡ‚ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ WebSQL Π² txiaj ntsig API IndexedDB.

Google устранил ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡƒ Π² выпускС Chrome 79. Π’ ΠΊΠΎΠ΄ΠΎΠ²ΠΎΠΉ Π±Π°Π·Π΅ SQLite ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π±Ρ‹Π»Π° tsau 17 ноября, Π° Π² ΠΊΠΎΠ΄ΠΎΠ²ΠΎΠΉ Π±Π°Π·Π΅ Chromium β€” 21 Kaum Ib Hlis.
ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° присутствуСт Π² chaws Π΄Π²ΠΈΠΆΠΊΠ° полнотСкстового поиска FTS3 ΠΈ Ρ‡Π΅Ρ€Π΅Π· ΠΌΠ°Π½ΠΈΠΏΡƒΠ»ΡΡ†ΠΈΡŽ с Ρ‚Π΅Π½Π΅Π²Ρ‹ΠΌΠΈ Ρ‚Π°Π±Π»ΠΈΡ†Π°ΠΌΠΈ (shadow tables, особый Π²ΠΈΠ΄ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… Ρ‚Π°Π±Π»ΠΈΡ† с Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ записи) ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ ΠΏΠΎΠ²Ρ€Π΅ΠΆΠ΄Π΅Π½ΠΈΡŽ индСкса ΠΈ ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ Π±ΡƒΡ„Π΅Ρ€Π°. Π”Π΅Ρ‚Π°Π»ΡŒΠ½Π°Ρ информация ΠΎ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ΅ эксплуатации Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π° Ρ‡Π΅Ρ€Π΅Π· 90 Π΄Π½Π΅ΠΉ.

Новый Ρ€Π΅Π»ΠΈΠ· SQLite с исправлСниСм ΠΏΠΎΠΊΠ° Π½Π΅ сформирован (cia siab tias yuav 31 дСкабря). Π’ качСствС ΠΎΠ±Ρ…ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΏΡƒΡ‚ΠΈ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ начиная с SQLite 3.26.0 ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Ρ€Π΅ΠΆΠΈΠΌ SQLITE_DBCONFIG_DEFENSIVE, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π·Π°ΠΏΡ€Π΅Ρ‰Π°Π΅Ρ‚ запись Π² Ρ‚Π΅Π½Π΅Π²Ρ‹Π΅ Ρ‚Π°Π±Π»ΠΈΡ†Ρ‹ ΠΈ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΠΎΠ²Π°Π½ для Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ Π²Π½Π΅ΡˆΠ½ΠΈΡ… SQL-запросов Π² SQLite. Π’ дистрибутивах ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ΅ SQLite ΠΏΠΎΠΊΠ° остаётся нСисправлСнной Π² Debian, Ubuntu, RHEL, openSUSE / SUSE, Arch Linux, Fedora, FreeBSD. Chromium Π²ΠΎ всСх дистрибутивах ΡƒΠΆΠ΅ ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½ ΠΈ Π½Π΅ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½ уязвимости, Π½ΠΎ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΡ…Π²Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ сторонниС Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Ρ‹ ΠΈ прилоТСния, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠ΅ Π΄Π²ΠΈΠΆΠΎΠΊ Chromium, Π° Ρ‚Π°ΠΊΠΆΠ΅ Android-прилоТСния Π½Π° Π±Π°Π·Π΅ Webview.

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π² SQLite Ρ‚Π°ΠΊΠΆΠ΅ выявлСны 4 ΠΌΠ΅Π½Π΅Π΅ опасныС ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ (CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ привСсти ΠΊ ΡƒΡ‚Π΅Ρ‡ΠΊΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈ ΠΎΠ±Ρ…ΠΎΠ΄Ρƒ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠΉ (ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ ΠΊΠ°ΠΊ ΡΠΎΠΏΡƒΡ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ Ρ„Π°ΠΊΡ‚ΠΎΡ€Ρ‹ для Π°Ρ‚Π°ΠΊΠΈ Π½Π° Chrome). Π£ΠΊΠ°Π·Π°Π½Π½Ρ‹Π΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ устранСны Π² ΠΊΠΎΠ΄Π΅ SQLite 13 дСкабря. Π’ совокупности ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΠ»ΠΈ исслСдоватСлям ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΈΡ‚ΡŒ Ρ€Π°Π±ΠΎΡ‡ΠΈΠΉ эксплоит, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΠΉ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΊΠΎΠ΄ Π² контСкстС процСсса Chromium, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰Π΅Π³ΠΎ Π·Π° отрисовку.

Tau qhov twg los: opennet.ru

Ntxiv ib saib