收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 漏洞公告

Chrome瀏覽器WebSQL和SQLite存在任意代碼執行漏洞

       騰訊安全平臺部Tencent Blade Team發現并報告的多個Chrome瀏覽器WebSQL組件和SQLite遠程代碼執行漏洞(CVE-2019-13734, CVE-2019-13750,CVE-2019-13751, CVE-2019-13752, CVE-2019-13753)。攻擊者利用該漏洞,通過社工手段誘使用戶訪問惡意網頁,實現對用戶瀏覽器網頁進程的權限控制和代碼執行。目前谷歌公司、SQLite已發布補丁完成修復。

一、漏洞情況分析

SQLite是由D.RichardHipp建立的一個開源關系數據庫,該數據庫兼容ACID,具有多語言支持、零配置、輕量化、執行效率高的特點,在網頁瀏覽器、操作系統、嵌入式系統中得到了廣泛使用。Chrome是一款由Google開發的瀏覽器,提供了由SQLite數據庫支持的WebSQL功能,支持網頁腳本對SQL語句的執行。

騰訊安全平臺部Tencent Blade Team發現并報告的多個SQLite、Chrome瀏覽器WebSQL組件遠程代碼執行漏洞。由于SQLite表結構在處理過程中時,存在多個邏輯漏洞和內存破壞漏洞,導致Chrome瀏覽器WebSQL、SQLite存在任意代碼執行漏洞。攻擊者利用該漏洞,通過釣魚郵件、惡意短信等社工手段誘使用戶訪問惡意網頁,在支持外部輸入SQL語句和使用SQLite組件的軟件上實現代碼執行,在Chrome瀏覽器和基于Chromium開發的瀏覽器上實現Render權限的任意代碼執行。

該漏洞評級為“高危”。

二、漏洞影響范圍

根據官方公告情況,該漏洞影響的產品和版本如下:

1、Chrome瀏覽器79.0.3945.79以下版本

2、使用Chromium內核(79.0.3945.79以下)的瀏覽器

3、使用SQLite官方版本且未更新2019年12月4日補丁(e01fdbf9)的SQLite組件

三、漏洞處置建議

1、谷歌官方已發布補丁修復此漏洞,建議使用Chrome瀏覽器的用戶立即升級至最新版本:

https://www.google.cn/intl/zh-CN/chrome/

2、使用Chromium內核開發的瀏覽器廠商,需將內核版本更新至官方穩定版79.0.3945.79以上。用戶也可采取禁用WebSQL模塊或單獨合入補丁等臨時防護措施。

3、將SQLite組件更新至2019年12月4日及之后的補丁。


福彩3d跨度走势图300期带连线