IN SQLite DBMS (CVE-2019-5018), waarmee u uw code op het systeem kunt uitvoeren als het mogelijk is een door een aanvaller voorbereide SQL-query uit te voeren. Het probleem wordt veroorzaakt door een fout in de implementatie van vensterfuncties en verschijnt vanaf de vertakking . Kwetsbaarheid in het aprilnummer zonder expliciete vermelding van het oplossen van beveiligingsproblemen.
Een speciaal vervaardigde SQL SELECT-query kan resulteren in een 'use-after-free' geheugentoegang, die mogelijk kan worden gebruikt om een exploit te creëren om code uit te voeren in de context van een toepassing die SQLite gebruikt. Het beveiligingslek kan worden misbruikt als de toepassing toestaat dat SQL-constructies die van buitenaf komen, in SQLite worden doorgegeven.
Er zou bijvoorbeeld mogelijk een aanval kunnen worden uitgevoerd op de Chrome-browser en applicaties die gebruik maken van de Chromium-engine, aangezien de WebSQL API bovenop SQLite is geïmplementeerd en toegang heeft tot dit DBMS om SQL-query's van webapplicaties te verwerken. Om aan te vallen volstaat het om een pagina met kwaadaardige JavaScript-code te maken en de gebruiker te dwingen deze te openen in een browser op basis van de Chromium-engine.
Bron: opennet.ru