ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > WebSQL හරහා Chrome මත දුරස්ථ ප්‍රහාරවලට ඉඩ දෙන SQLite හි ඇති අවදානම

WebSQL හරහා Chrome මත දුරස්ථ ප්‍රහාරවලට ඉඩ දෙන SQLite හි ඇති අවදානම

චීන සමාගමක් වන Tencent හි ආරක්ෂක පර්යේෂකයන් ඉදිරිපත් කරන ලදී නව අවදානම් ප්‍රභේදය මැගෙලන් (CVE-2019-13734), SQLite DBMS හි යම් ආකාරයකින් නිර්මාණය කර ඇති SQL ඉදිකිරීම් සැකසීමේදී කේත ක්‍රියාත්මක කිරීමට ඔබට ඉඩ සලසයි. ඒ හා සමාන දුර්වලතාවයක් තිබුණා පළ කර ඇත වසරකට පෙර එම පර්යේෂකයන් විසින්. ප්‍රහාරකයා විසින් පාලනය කරනු ලබන වෙබ් පිටු විවෘත කිරීමේදී ක්‍රෝම් බ්‍රවුසරයට දුරස්ථව ප්‍රහාර එල්ල කිරීමට සහ පරිශීලකයාගේ පද්ධතිය මත පාලනය ලබා ගැනීමට එය කෙනෙකුට ඉඩ සලසන මෙම අවදානම කැපී පෙනේ.

Chrome/Chromium වෙත ප්‍රහාරය සිදු කරනු ලබන්නේ WebSQL API හරහා වන අතර, එහි හසුරුවන්නා SQLite කේතය මත පදනම් වේ. වෙනත් යෙදුම් වලට ප්‍රහාරයක් කළ හැක්කේ ඔවුන් පිටතින් එන SQL ඉදිකිරීම් SQLite වෙත මාරු කිරීමට ඉඩ දෙන්නේ නම් පමණි, උදාහරණයක් ලෙස, ඔවුන් දත්ත හුවමාරුව සඳහා ආකෘතියක් ලෙස SQLite භාවිතා කරයි. ෆයර්ෆොක්ස් මොසිල්ලා නිසා අවදානමට ලක් නොවේ ප්රතික්ෂේප කළා WebSQL ක්‍රියාත්මක කිරීමෙන් ප්රතිලාභය IndexedDB API.

Google විසින් නිකුත් කිරීමේදී ගැටළුව විසඳා ඇත ක්රොම් 79. SQLite කේත පදනමේ ගැටලුවක් ඇති විය ස්ථාවර නොවැම්බර් 17, සහ Chromium කේත පදනමේ - නොවැම්බර්.
තුළ ගැටලුව පවතී කේතය FTS3 සම්පූර්ණ-පෙළ සෙවුම් යන්ත්‍රය සහ සෙවනැලි වගු හැසිරවීම හරහා (ලියන හැකියාව සහිත විශේෂ අථත්‍ය වගුවක්) දර්ශක දූෂණයට සහ බෆර පිටාර ගැලීමට හේතු විය හැක. මෙහෙයුම් තාක්ෂණය පිළිබඳ සවිස්තරාත්මක තොරතුරු දින 90 කට පසුව ප්‍රකාශයට පත් කෙරේ.

දැනට නිවැරදි කිරීම සමඟ නව SQLite නිකුතුව පිහිටුවා නැත (බලාපොරොත්තු වේ දෙසැම්බර් 31). SQLite 3.26.0 සමඟින් ආරම්භ වන ආරක්ෂක පිළියමක් ලෙස, SQLITE_DBCONFIG_DEFENSIVE මාදිලිය භාවිතා කළ හැක, එය සෙවනැලි වගු වෙත ලිවීම අක්‍රීය කරන අතර SQLite හි බාහිර SQL විමසුම් සැකසීමේදී ඇතුළත් කිරීමට නිර්දේශ කෙරේ. බෙදාහැරීමේ කට්ටල වලදී, SQLite පුස්තකාලයේ ඇති අනාරක්ෂිත බව ස්ථිරව පවතී ඩේබියන්, උබුන්ටු, රාල්, openSUSE / SUSE, ආෆ්ට් ලිනක්ස්, Fedora, FreeBSD. සියලුම බෙදාහැරීම්වල Chromium දැනටමත් යාවත්කාලීන කර ඇති අතර අනාරක්‍ෂිතභාවයට බලපාන්නේ නැත, නමුත් ගැටලුව Chromium එන්ජිම භාවිතා කරන විවිධ තෙවන පාර්ශවීය බ්‍රව්සර් සහ යෙදුම්වලට මෙන්ම Webview මත පදනම් වූ Android යෙදුම්වලටද බලපෑ හැකිය.

මීට අමතරව, SQLite හි අඩු භයානක ගැටළු 4ක් ද හඳුනාගෙන ඇත (CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753), තොරතුරු කාන්දු වීම සහ සීමාවන් මග හැරීමට හේතු විය හැක (Chrome මත ප්‍රහාරයක් සඳහා දායක සාධක ලෙස භාවිතා කළ හැක). මෙම ගැටළු දෙසැම්බර් 13 වන දින SQLite කේතයෙන් විසඳා ඇත. එකට ගත් විට, ගැටළු පර්යේෂකයන්ට විදැහුම්කරණය සඳහා වගකිව යුතු Chromium ක්‍රියාවලියේ සන්දර්භය තුළ කේතය ක්‍රියාත්මක කිරීමට ඉඩ සලසන ක්‍රියාකාරී සූරාකෑමක් සකස් කිරීමට ඉඩ ලබා දුන්නේය.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න