Optisis
dsc
Beenius
Castoola
ZAPRI+

Kritična SQLite ranljivost

Ekipa raziskovalcev s področja kibernetske varnosti »Tencent’s Blade« je odkrila kritično ranljivost v priljubljeni in razširjeni programski opremi baz podatkov SQLite.

Kritična SQLite ranljivost ogroža številne aplikacije, ki so bile razvite za uporabo SQLite programske opreme. Ranljivost, ki jo je ekipa raziskovalcev poimenovala “Magellan“, lahko napadalcem omogoči oddaljeno izvajanje poljubne (ali) zlonamerne kode na prizadetih napravah, programskem pomnilniku ali povzroči neodzivnost aplikacij.

SQLite je pogosto uporabljen sistem za upravljanje relacijskih podatkovnih baz na disku, ki zahteva minimalno podporo operacijskih sistemov ali zunanjih knjižnic. Zato je združljiv s skoraj vsako napravo, platformo in programskim jezikom.Spletni brskalniki s Chromium jedrom, vključno z Google Chrome, Opera, Vivaldi in Brave podpirajo tudi SQLite prek API-jev stare spletne SQL baze podatkov. Oddaljeni napadalec tako zlahka preži na uporabnike zgoraj omenjenih brskalnikov in jih prepriča, da obiščejo posebej izdelano spletno stran. “Google je po preizkusu ranljivosti v Google Chrome le to tudi našel in potrdil,” so povedali člani ekipe “Tencent’s Blade”.

Kritična SQLite ranljivost in ustrezna zaščita

“V tem trenutku ne bomo razkrili nobenih podrobnosti o ranljivosti, izdelovalcem programske opreme pa sporočamo, da čim prej odpravijo to ranljivost,” je izjavila ekipa “Tencent’s Blade”. Po obvestilu o odkriti kritični SQLite ranljivosti je bila izdana posodobljena različica programske opreme SQLite 3.26.0, ki odpravlja ranljivost. Google je prav tako izdal Chromium jedro različice  71.0.3578.80 za odpravo ranljivosti in popravek že vključil v posodobljeno različico brskalnikov Google Chrome in Brave.

Varnostna priporočila

Ker je SQLite pogosto uporabljena programska oprema baz podatkov ter jo uporabljajo tudi Adobe, Apple, Dropbox, Firefox, Android, Chrome, Microsoft in še katera druga programska oprema, je kritična SQLite ranljivost “Magellan” pomembna, čeprav je napadalci do sedaj še niso izkoristili.

 

Ranljivost lahko tudi samo preverite, in sicer z Nessus vtičniki. Vsem uporabnikom in skrbnikom podatkovnih baz priporočamo, da posodobite sisteme na najnovejšo različico SQLite programske opreme. Uporabnikom spletnih brskalnikov s Chromium jedrom pa svetujemo njegovo nadgradnjo.

Author
O AVTORJU Janez Peršin Etični heker in strokovnjak za kibernetsko varnost janez.persin@smart-com.si

Moja specializacija s področja IKT je varnost, kateri v podjetju posvečam pozornost že več kot 11 let. Poleg tega imam pridobljenih veliko različnih certifikatov; CCNP, JNCIP-CES, JNCIP-ENT, VCP in še veliko več.

Priporočamo

Kritična napaka v Linux APT orodju

PREBERI VEČ

Nova ‘phishing’ tehnika za uspešen napad na večnivojsko avtentikacijo

PREBERI VEČ

Kaj pa varnost v OT?

PREBERI VEČ

Karkoff – nov tip DNSpionage s selektivno izbiro cilja

PREBERI VEČ
VPRAŠAJTE NAS
Arrow

Soglašam, da zaupane osebne podatke lahko hranite in uporabite za obveščanje o:



Vaše podatke bomo hranili in obdelovali za občasno posredovanje strokovnih vsebin in vabil na specializirane dogodke preko elektronske pošte. Vaše osebne podatke bomo uporabljali zaupno in jih ne bomo posredovali tretjim osebam. Vašo zasebnost obravnavamo v skladu z določili GDPR in Zakonom o varstvu osebnih podatkov.

Privolitev lahko kadarkoli prekličete, ob prejemu e-sporočila ali na e-naslov marketing@smart-com.si posredujete sporočilo z naslovom Odjava. Po obdelavi zahteve za odjavo vam bo Smart Com prenehal pošiljati vsebine od katerih ste se odjavili.

Podrobnosti o odjavi, obdelavi in varovanju osebnih podatkov si preberite v Pravnih obvestilih.

x
Zapri obrazec
ZAPRI+