Menú

Vulnerabilidad crítica en SQLite afecta millones de apps

Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica en el software de base de datos SQLite ampliamente utilizado que expone miles de millones de implementaciones a piratas informáticos.

Apodado como “Magellan por el equipo de seguridad Blade de Tencent, la falla SQLite recién descubierta podría permitir a los atacantes remotos ejecutar código malintencionado o arbitrario en los dispositivos afectados, filtrar la memoria del programa o bloquear las aplicaciones.

SQLite es un sistema de gestión de bases de datos relacionales basado en disco, liviano y ampliamente utilizado que requiere un soporte mínimo de sistemas operativos o bibliotecas externas y, por lo tanto, compatible con casi todos los dispositivos, plataformas y lenguajes de programación.

SQLite es el motor de base de datos más implementado en el mundo hoy en día, y lo utilizan millones de aplicaciones con literalmente miles de millones de implementaciones, incluidos dispositivos IoT, macOS y aplicaciones de Windows, incluidos los principales navegadores web, como el software de Adobe, Skype y otros.

Dado que los navegadores web basados ​​en Chromium, incluidos Google Chrome, Opera, Vivaldi y Brave, también son compatibles con SQLite a través de la API de base de datos web SQL obsoleta , un atacante remoto puede atacar fácilmente a los usuarios de los navegadores afectados con solo convencerlos de que visiten un sitio web especialmente diseñado.

“Después de probar que Chromium también se vio afectado por esta vulnerabilidad, Google confirmó y solucionó esta vulnerabilidad”, dijeron los investigadores en una publicación del blog.

SQLite ha lanzado la versión actualizada 3.26.0 de su software para abordar el problema después de recibir la divulgación responsable de los investigadores. Google también ha lanzado la versión 71.0.3578.80 de Chromium para solucionar el problema y ha llevado la versión parcheada a la última versión de los navegadores web Google Chrome y Brave.

Los investigadores de Tencent dijeron que construyeron con éxito un exploit de prueba de concepto utilizando la vulnerabilidad de Magellan y probaron con éxito su exploit contra Google Home.

Dado que la mayoría de las aplicaciones no se pueden parchear antes, los investigadores han decidido no revelar al público los detalles técnicos y el código de vulnerabilidad de prueba de concepto.

“No revelaremos ningún detalle de la vulnerabilidad en este momento, y estamos presionando a otros proveedores para que solucionen esta vulnerabilidad lo antes posible”, dijeron los investigadores.

Dado que SQLite es utilizado por todos, incluidos Adobe, Apple, Dropbox, Firefox, Android, Chrome, Microsoft y un montón de otros programas, la vulnerabilidad de Magellan es un problema notable, incluso si aún no se ha explotado en la naturaleza.

Se recomienda a los usuarios y administradores que actualicen sus sistemas y las versiones de software afectadas a la última versión tan pronto como estén disponibles.

Fuente: THN