НОВОСТИ Уязвимости в google chrome позволяли удалённо выполнить вредоносный код

ТОНИ СТАРК

Знаменитый
ПРЕССА ФОРУМА
PREMIUM USER

ТОНИ СТАРК

Знаменитый
ПРЕССА ФОРУМА
PREMIUM USER
Регистрация
11 Ноя 2019
Сообщения
1,667
Реакции
72
Репутация
0
В Google Chrome выявили новый набор SQLite-уязвимостей, позволяющих атакующему удалённо запустить вредоносный код внутри самого популярного на сегодняшний день браузера. В общей сложности эксперты Tencent Blad обнаружили пять дыр, которые объединили в связку под названием «Magellan 2.0». По сути, эти бреши угрожают всем приложениям, использующим базу данных SQLite.

Пользователям Google Chrome повезло ещё меньше, поскольку у браузера есть функция WebSQL API, открывающая возможность для удалённых атак. Примечательно, что исследователи сообщили о Magellan 2.0 спустя год после раскрытия информации о предыдущей прохожей проблеме — Magellan. Как и в случае оригинальной связки уязвимостей, Magellan 2.0 существует из-за некорректной валидации SQL-команд, которые БД SQLite получает от третьих лиц.

Атакующий может внедрить вредоносный код в команду SQL. Таким образом, когда движок попробует обработать эту команду, он запустит код злоумышленника. Команда Tencent Blade предупреждает, что данная связка уязвимостей может привести к удалённому выполнению кода, утечкам из памяти приложения и сбою в работе программ. Для эксплуатации Magellan 2.0 киберпреступнику нужно всего лишь заманить жертву на вредоносный сайт.

К счастью, с выходом версии Google Chrome 79.0.3945.79 (релиз состоялся две недели назад) разработчики устранили вышеописанную цепочку брешей.
 
Сверху