SQLite被曝漏洞 90%以上设备可能受影响

近日，腾讯安全平台部刀锋团队在工作中发现，SQLite存在一组名为"麦哲伦"的漏洞，利用这组漏洞，攻击者可以在用户设备上远程运行恶意代码，导致用户隐私数据泄漏或设备被控制。根据SQLite官方记录，这组漏洞可能已经存在8年之久，影响范围极大，搭载安卓、苹果和微软系统在内的大部分设备或受影响。

腾讯安全平台部刀锋团队通过人工代码审计与自动化测试时发现，SQLite存在3个缓冲区溢出类型漏洞，可以导致代码执行，而且根据使用SQLite的软件不同，攻击者可能发起远程攻击，也可能发起本地攻击。SQLite作为一个基础的轻量级数据库，广泛在各类操作系统中使用。例如google home音箱内部使用了chrome浏览器，而chrome就使用了SQLite，安全团队通过WIFI向Google Home音箱推送恶意网页，在不接触硬件的情况下就攻击了google home，获取了设备的控制权。

腾讯安全平台部刀锋团队高级安全研究员钱文祥称：“如果用户使用了没有修复漏洞的浏览器或者APP，一个很常见的场景就是扫描二维码，然后打开攻击者的网站，攻击者就可以远程在用户的浏览器或者APP里执行任意命令，攻击者的权限和浏览器或者APP的权限是一样的，比如可以窃取用户的隐私或者在里面执行攻击者的脚本。”

此漏洞影响极其广泛，除日常使用的设备如苹果的iphone,ipad和安卓系统手机等终端外，大多数国内基于chromium项目开发的浏览器也都受到影响。目前，各大公司已经发布了漏洞修复补丁，腾讯安全平台部刀锋团队提醒用户及时关注系统与软件的更新通知。

腾讯安全平台部刀锋团队高级安全研究员伍惠宇表示：“90%以上的手机电脑浏览器都会受影响，大部分厂商已经发布了安全更新来修复漏洞，对于普通用户来说大家只要及时关注厂商推送的更新包，进行更新避免受到漏洞影响，对开发者来说建议他们开发应用时使用最新版本的SQLite来进行开发。”

（看看新闻Knews记者：陈俊杰 编辑：范燕菲）