Mpikaroka momba ny fiarovana avy amin'ny orinasa sinoa Tencent variana vulnerability vaovao (), izay ahafahanao manatratra ny famonoana kaody rehefa manodina ny fananganana SQL natao amin'ny fomba iray ao amin'ny SQLite DBMS. Nisy vulnerability mitovy amin'izany nataon'ireo mpikaroka mitovy taona lasa izay. Ny vulnerability dia miavaka amin'ny ahafahan'ny olona manafika lavitra ny navigateur Chrome ary manara-maso ny rafitry ny mpampiasa rehefa manokatra pejy web fehezin'ny mpanafika.
Ny fanafihana Chrome/Chromium dia atao amin'ny alàlan'ny WebSQL API, izay mifototra amin'ny kaody SQLite ny mpitantana azy. Ny fanafihana amin'ny rindranasa hafa dia azo atao raha mamela ny famindrana ny fananganana SQL avy any ivelany mankany amin'ny SQLite, ohatra, mampiasa SQLite ho endrika fifanakalozana angona. Tsy vulnerable ny Firefox satria Mozilla avy amin'ny fampiharana WebSQL IndexedDB API.
Google dia namaha ny olana tamin'ny famoahana . Nisy olana tao amin'ny codebase SQLite 17 Novambra, ary ao amin'ny codebase Chromium - .
Ny olana dia eo amin'ny FTS3 milina fikarohana lahatsoratra feno sy amin'ny alalan'ny fanodinkodinana ny latabatra aloka (karazana latabatra virtoaly manokana miaraka amin'ny fisoratana) dia mety hitarika amin'ny kolikoly fanondroana sy ny firongatry ny buffer. Havoaka aorian'ny 90 andro ny fampahalalana amin'ny antsipiriany momba ny teknika miasa.
Famoahana SQLite vaovao miaraka amin'ny fanamboarana amin'izao fotoana izao ( 31 Desambra). Amin'ny maha-fiarovana fiarovana, manomboka amin'ny SQLite 3.26.0, dia azo ampiasaina ny maodely SQLITE_DBCONFIG_DEFENSIVE, izay manakana ny fanoratana amin'ny latabatra aloka ary asaina ampidirina rehefa manamboatra fangatahana SQL ivelany amin'ny SQLite. Ao amin'ny kitapo fizarana, ny vulnerability ao amin'ny tranomboky SQLite dia mbola tsy voavaha , , , , , , . Ny Chromium amin'ny fizarana rehetra dia efa nohavaozina ary tsy misy fiantraikany amin'ny vulnerability, fa ny olana dia mety hisy fiantraikany amin'ny navigateur antoko fahatelo sy fampiharana mampiasa ny motera Chromium, ary koa ny fampiharana Android mifototra amin'ny Webview.
Fanampin'izany, olana 4 tsy dia mampidi-doza ihany koa no hita ao amin'ny SQLite (, , , ), izay mety hitarika amin'ny fiparitahan'ny fampahalalam-baovao sy fanodinkodinana ny fameperana (azo ampiasaina ho antony mahatonga ny fanafihana Chrome). Ireo olana ireo dia napetraka tao amin'ny code SQLite tamin'ny 13 Desambra. Raha atambatra, ireo olana dia nahafahan'ny mpikaroka manomana fanararaotana miasa izay mamela ny kaody hotanterahina amin'ny tontolon'ny fizotran'ny Chromium tompon'andraikitra amin'ny famoahana.
Source: opennet.ru