SA SQLite DBMS (CVE-2019-5018), na nagbibigay-daan sa iyong i-execute ang iyong code sa system kung posible na magsagawa ng SQL query na inihanda ng isang attacker. Ang problema ay sanhi ng isang error sa pagpapatupad ng mga function ng window at lumilitaw simula sa sangay . kahinaan sa isyu ng Abril na walang tahasang pagbanggit ng pag-aayos ng mga isyu sa seguridad.
Ang isang espesyal na ginawang SQL SELECT query ay maaaring magresulta sa isang use-after-free na pag-access sa memorya, na posibleng magamit upang lumikha ng pagsasamantala upang maisagawa ang code sa konteksto ng isang application gamit ang SQLite. Maaaring samantalahin ang kahinaan kung pinapayagan ng application ang mga SQL construct na nagmumula sa labas na maipasa sa SQLite.
Halimbawa, posibleng magsagawa ng pag-atake sa browser ng Chrome at mga application gamit ang Chromium engine, dahil ipinapatupad ang WebSQL API sa ibabaw ng SQLite at ina-access ang DBMS na ito upang iproseso ang mga query sa SQL mula sa mga web application. Upang mag-atake, sapat na ang gumawa ng page na may malisyosong JavaScript code at pilitin ang user na buksan ito sa isang browser batay sa Chromium engine.
Pinagmulan: opennet.ru