Várias vulnerabilidades do Chrome existentes no SQLite permitem que hackers executem código arbitrário remotamente

Leonardo Santana
Leonardo Santana
Imagem: Reprodução | GB Hackers.

As vulnerabilidades críticas do SQLite denominadas Magellan 2.0 descobertas no navegador Google Chrome (mais popular do mundo) permitem que os hackers explorem o processo de renderização do Chromium e executem código remoto.

O SQLite é um banco de dados conhecido amplamente usado em softwares populares com bancos de dados embutidos. ALém disso, o SQLite é uma escolha popular para armazenamento local/cliente em software como navegadores da web e sistemas operacionais.

Vulnerabilidades do Chrome existentes no SQLite

A vulnerabilidade afeta os usuários que estão usando o Chrome anterior a 79.0.3945.79 com o WebSQL ativado. Além disso, os pesquisadores confirmaram que PCs, dispositivos móveis e IoT podem ser afetados.

A vulnerabilidade foi descoberta inicialmente pela equipe do Tencent Blade e eles foram testados com êxito no Chrome e exploraram a vulnerabilidade no processo de renderização do Chromium.

Detalhes da vulnerabilidade Magellan 2.0

As vulnerabilidades afetaram principalmente o software que está usando o SQLite como componente e oferece suporte a consultas SQL externas. Os invasores aproveitam as vulnerabilidades para fazer a execução remota de código que vaza memória do programa ou causa falhas no programa.

As vulnerabilidades podem ser rastreadas da seguinte maneira: CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753.

CVE: Common Vulnerabilities and Exposures.

Várias vulnerabilidades do Chrome existentes no SQLite permitem que hackers executem código arbitrário remotamente
O Google já lançou a versão oficial do Chrome 79.0.3945.88.

De acordo com o relatório do Tencent, Magellan se refere a um grupo de vulnerabilidades e, se os navegadores com WebSQL ativado atenderem às seguintes condições, poderão ser afetados pelas vulnerabilidades.

  • Chrome/Chromium anterior à versão 79.0.3945.79 (denominada “versão antiga”).
  • Dispositivos inteligentes usando uma versão antiga do Chrome/Chromium.
  • Navegadores criados com a versão antiga do Chromium/Webview.
  • Aplicativos Android que usam uma versão antiga do Webview e podem acessar qualquer página da web.
  • Software que usa a versão antiga do Chromium e pode acessar qualquer página da web.

Os pesquisadores negaram divulgar os detalhes das vulnerabilidades, já que o bug tem uma política de divulgação de 90 dias.

O SQLite e o Google já confirmaram e corrigiram os problemas. Além disso, o Google lançou a versão oficial do Chrome 79.0.3945.88.

Fonte: GB Hackers

Share This Article
Follow:
Profissional da área de manutenção e redes, astrônomo amador, eletrotécnico e apaixonado por TI desde o século passado.