SQLite DBVS (CVE-2019-5018), kuri leidžia vykdyti savo kodą sistemoje, jei įmanoma vykdyti užpuoliko parengtą SQL užklausą. Problema kyla dėl lango funkcijų įgyvendinimo klaidos ir atsiranda pradedant nuo šakos . Pažeidžiamumas balandžio mėnesio numeryje aiškiai neminint saugumo problemų sprendimo.
Specialiai sukurta SQL SELECT užklausa gali sukelti nenaudojamos atminties prieigą, kuri gali būti panaudota kuriant išnaudojimą, skirtą kodui vykdyti programos, naudojant SQLite, kontekste. Pažeidžiamumu galima pasinaudoti, jei programa leidžia iš išorės gaunamas SQL konstrukcijas perduoti į SQLite.
Pavyzdžiui, gali būti įvykdyta ataka prieš „Chrome“ naršyklę ir programas naudojant „Chromium“ variklį, nes „WebSQL API“ įdiegta SQLite viršuje ir pasiekia šią DBVS, kad apdorotų SQL užklausas iš žiniatinklio programų. Norėdami atakuoti, pakanka sukurti puslapį su kenkėjišku JavaScript kodu ir priversti vartotoją jį atidaryti naršyklėje, kurios pagrindas yra „Chromium“ variklis.
Šaltinis: opennet.ru