SQLite DBMSలో (CVE-2019-5018), దాడి చేసేవారు తయారుచేసిన SQL ప్రశ్నను అమలు చేయడం సాధ్యమైతే సిస్టమ్లో మీ కోడ్ని అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. విండో ఫంక్షన్ల అమలులో లోపం కారణంగా సమస్య ఏర్పడింది మరియు శాఖ నుండి ప్రారంభమవుతుంది . దుర్బలత్వం ఏప్రిల్ సంచికలో భద్రతా సమస్యలను పరిష్కరించడం గురించి స్పష్టమైన ప్రస్తావన లేకుండా.
ప్రత్యేకంగా రూపొందించిన SQL SELECT క్వెరీ ఉపయోగం తర్వాత-ఉచిత మెమరీ యాక్సెస్కు దారి తీస్తుంది, ఇది SQLiteని ఉపయోగించే అప్లికేషన్ సందర్భంలో కోడ్ని అమలు చేయడానికి దోపిడీని సృష్టించడానికి సమర్థవంతంగా ఉపయోగించబడుతుంది. బయటి నుండి వచ్చే SQL నిర్మాణాలను SQLiteలోకి పంపడానికి అప్లికేషన్ అనుమతించినట్లయితే దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు.
ఉదాహరణకు, WebSQL API SQLite పైన అమలు చేయబడుతుంది మరియు వెబ్ అప్లికేషన్ల నుండి SQL ప్రశ్నలను ప్రాసెస్ చేయడానికి ఈ DBMSని యాక్సెస్ చేయడం వలన, Chrome బ్రౌజర్ మరియు Chromium ఇంజిన్ని ఉపయోగించే అప్లికేషన్లపై దాడి సంభావ్యంగా నిర్వహించబడుతుంది. దాడి చేయడానికి, హానికరమైన JavaScript కోడ్తో పేజీని సృష్టించి, Chromium ఇంజిన్ ఆధారంగా బ్రౌజర్లో దాన్ని తెరవమని వినియోగదారుని బలవంతం చేస్తే సరిపోతుంది.
మూలం: opennet.ru