SQLite DBMS တွင် တိုက်ခိုက်သူမှပြင်ဆင်ထားသော SQL query ကိုလုပ်ဆောင်ရန်ဖြစ်နိုင်လျှင်စနစ်ပေါ်တွင်သင်၏ကုဒ်ကိုလုပ်ဆောင်ရန်ခွင့်ပြုသည့် (CVE-2019-5018)။ ပြဿနာသည် ဝင်းဒိုးလုပ်ဆောင်ချက်များကို အကောင်အထည်ဖော်ရာတွင် အမှားအယွင်းတစ်ခုကြောင့် ဖြစ်ပေါ်လာပြီး ဌာနခွဲမှ စတင်ပေါ်လာခြင်းဖြစ်သည်။ . အားနည်းချက် ဧပြီလထုတ်၌ လုံခြုံရေးပြဿနာများကို ရှင်းရှင်းလင်းလင်းဖော်ပြထားခြင်းမရှိပေ။
အထူးဖန်တီးထားသော SQL SELECT query သည် SQLite ကို အသုံးပြု၍ အပလီကေးရှင်းတစ်ခု၏အခြေအနေတွင် ကုဒ်ကို execute ပြုလုပ်ရန် exploit ဖန်တီးရန် အလားအလာရှိသော အသုံးပြုပြီးနောက် အခမဲ့ memory access ကို ဖြစ်ပေါ်စေနိုင်သည်။ အပလီကေးရှင်းသည် ပြင်ပမှလာသော SQL တည်ဆောက်မှုများကို SQLite သို့လွှဲပြောင်းပေးမည်ဆိုပါက အားနည်းချက်ကို အသုံးချနိုင်သည်။
ဥပမာအားဖြင့်၊ WebSQL API ကို SQLite ၏ထိပ်တွင်အသုံးပြုထားပြီး web application များမှ SQL queries များကိုလုပ်ဆောင်ရန် ဤ DBMS ကိုဝင်ရောက်သောကြောင့် Chrome browser နှင့် Chromium အင်ဂျင်ကိုအသုံးပြုသည့် application များပေါ်တွင်တိုက်ခိုက်မှုတစ်ခုလုပ်ဆောင်နိုင်ဖွယ်ရှိသည်။ တိုက်ခိုက်ရန်၊ အန္တရာယ်ရှိသော JavaScript ကုဒ်ပါသော စာမျက်နှာတစ်ခုကို ဖန်တီးပြီး Chromium အင်ဂျင်ကို အခြေခံသည့် ဘရောက်ဆာတစ်ခုတွင် သုံးစွဲသူအား ၎င်းအား ဖွင့်ခိုင်းရန် လုံလောက်ပါသည်။
source: opennet.ru