“谷歌浏览器受新的Magellan 2.0漏洞影响”

一组新的sqlite漏洞允许攻击者在世界上最流行的web浏览器google chrome上执行恶意代码。

该漏洞有5个，称为麦哲伦2.0，由腾讯刀片式服务器安全团队于今天公布。

所有使用sqlite数据库的APP都容易受到magellan 2.0的攻击，但是远程使用的风险低于chrome的风险，后者缺省情况下通过称为websql api的功能让chrome的客户进行远程使用

麦兰有那些洞吗？

同年，腾讯刀片安全团队在去年12月公布第一批麦哲伦sqlite漏洞后，正好一年零一周后公布了麦哲伦2.0。

与原麦哲伦的漏洞一样，这些新的更改是由于sqlite数据库未能正确输入和验证从第三方收到的sql命令而引起的。

攻击者可以创建包含恶意代码的sql操作。 sqlite数据库引擎读取此sqlite操作后，可以代替攻击者执行命令。

在今天发布的安全公告中，腾讯刀片式服务器团队表示麦哲伦2.0的漏洞可能导致远程执行代码，泄露程序内存，崩溃程序。

脆弱性和脆弱性

所有使用sqlite数据库存储数据的APP在缺省情况下都容易受到攻击，尽管通过互联网进行远程攻击的介质不可用。 为了能够使用，APP应用程序必须能够直接键入原始的sql命令，但是很少有APP应用程序允许这样做。

google chrome浏览器的客户面临远程攻击的危险，chrome浏览器使用内部sqlite数据库存储各种浏览器设置和客户数据。

这是因为谷歌铬浏览器附带了websql。 此api将javascript代码转换为sql命令，然后与chrome的sqlite数据库进行比较以运行api。 的websql默认启用了chrome，并且在歌剧中。

恶意站点可能会利用magellan 2.0中的漏洞对chrome访问者执行恶意代码。 但腾讯团队表示，没有理由担心，因为客户已经将这些问题通知了谷歌和sqlite团队。

腾讯称，5个麦哲伦2.0漏洞在两周前公布的谷歌铬79.0.3945.79中得到了修复。

sqlite项目于2019年12月13日修复了一系列修补程序错误； 但是，这些修复程序尚未包含在稳定的sqlite分支中。 仍然是12月10日发布的v3.30.1。

腾讯表示，不知道有与magellan 2.0漏洞相比的公开使用代码和攻击。 这家中国公司表示，计划在未来几个月内发布更多关于这两个错误的详细新闻，但今天的发布只包含发现的概要，因此APP开发者应事先了解并轻松更新APP附带的sqlite版本 。

但是，一些人可能不同意这家中国企业的决定。 去年，腾讯刀片发布原始麦哲伦漏洞详细消息时，该公司为sqlite创始人d .理查德·； 西普( d. richard hipp )的严厉批评。

西普说，这家中国企业夸大了原始脆弱性的影响。 这是因为麦兰的攻击媒体无法为依赖于sqlite的大部分APP引发远程执行代码( rce )。

如西普所说，他对年份的注意对2019年的麦哲伦2.0还有效。 使用sqlite数据库的大多数APP不会受到远程麦哲伦2.0攻击的影响。

尽管如此，主要由于websql api的存在，chrome可以执行远程代码执行( rce )方案。

本文：《“谷歌浏览器受新的Magellan 2.0漏洞影响”》