SQLite爆重大漏洞! 數百萬App和IoT裝置資料安全拉警報

研究人員發現，廣泛為App、Chromium瀏覽器或IoT裝置使用的SQLite資料庫，存在一項重大漏洞，可能讓駭客遠端執行程式碼。Google及SQLite官方已緊急修補漏洞。

首先發現這隻漏洞的騰訊旗下Blade安全研究部門將之命名為Magellan（麥哲倫）。基於SQLite應用範圍之廣泛，並未透露漏洞的技術細節，但表示該漏洞可以誘使用戶以瀏覽器造訪特定網頁而遠端觸發，導致程式碼執行、應用程式記憶體洩露或讓App當掉。

SQLite是一開源輕量關聯資料庫，對作業系統或外部函式庫支援的需求很小，因此可廣泛用於各種裝置或應用，包括物聯網裝置、Windows、macOS App，如Adobe Flash或Skype，甚至一系列Chromium瀏覽器，涵括Google Chrome、Opera、Vivaldi、Brave等，也可以經由Web SQL 資料庫API支援SQLite。這使得Magellan漏洞可能影響上百萬款App,以及不計其數的PC與物聯網裝置。

在此同時，研究人員已針對Magellan製作出概念驗證攻擊程式，也已成功入侵Google Home。所幸尚未發現有實際的攻擊程式在網路上流行。

目前，相關資安研究人員已經將Magellan通報Google，後者也已緊急修復此漏洞。如果用戶用的是Chromium-based瀏覽器，應升級到71.0.3578.80版。而Google也在本月初，釋出最新版Chrome 71。

SQLite官方也已修補了漏洞，並釋出更新版3.26.0。