9彩_9彩平台-官方推荐

对于 Chrome 阅读器 WebSQL 和 SQLite 存在肆意代码履行缝隙的宁静通知布告

文章来历: 教导手艺中间宣布时候: 2020-06-12阅读次数: 222

宁静通知布告编号:CNTA-2019-0040

201912月,国度信息宁静缝隙同享平台(CNVD)收录了由腾讯宁静平台部Tencent Blade Team发明并报告的多个Chrome阅读器WebSQL组件和SQLite长途代码履行缝隙(CNVD-2019-45908,对应CVE-2019-13734, CVE-2019-13750,CVE-2019-13751, CVE-2019-13752, CVE-2019-13753)。进犯者操纵该缝隙,经由进程社工手腕诱操纵户拜候歹意网页,完成对用户阅读器网页历程的权限节制和代码履行。今朝谷歌公司、SQLite已宣布补丁完成修复。

一、缝隙环境阐发

SQLite是由D.RichardHipp成立的一个开源干系数据库,该数据库兼容ACID,具备多说话撑持、零设置装备摆设、轻量化、履行效力高的特色,在网页阅读器、操纵体系、嵌入式体系中获得了普遍操纵。Chrome是一款由Google开辟的阅读器,供给了由SQLite数据库撑持的WebSQL功效,撑持网页剧本对SQL语句的履行。

201912月,国度信息宁静缝隙同享平台(CNVD)收录了由腾讯宁静平台部Tencent Blade Team发明并报告的多个SQLiteChrome阅读器WebSQL组件长途代码履行缝隙。因为SQLite表布局在措置进程中时,存在多个逻辑缝隙和内存粉碎缝隙,致使Chrome阅读器WebSQLSQLite存在肆意代码履行缝隙。进犯者操纵该缝隙,经由进程垂钓邮件、歹意短信等社工手腕诱操纵户拜候歹意网页,在撑持内部输出SQL语句和操纵SQLite组件的软件上实古代码履行,在Chrome阅读器和基于Chromium开辟的阅读器上完成Render权限的肆意代码履行。

CNVD对该缝隙的综合评级为“高危”。

二、缝隙影响规模

按照官方通知布告环境,该缝隙影响的产物和版本以下:

1Chrome阅读器79.0.3945.79以下版本

2、操纵Chromium内核(79.0.3945.79以下)的阅读器

3、操纵SQLite官方版本且未更新2019124日补丁(e01fdbf9)的SQLite组件

三、缝隙措置倡议

1、谷歌官方已宣布补丁修复此缝隙,CNVD倡议操纵Chrome阅读器的用户当即进级至最新版本:

2、操纵Chromium内核开辟的阅读器厂商,需将内核版本更新至官方不变版79.0.3945.79以上。用户也可采用禁用WebSQL模块或零丁合入补丁等姑且防护办法。

3、将SQLite组件更新至2019124日及以后的补丁。

附参考链接:




返回9彩_9彩平台-官方推荐首页

快乐赛车官方_快乐赛车彩票『欢迎您』 快乐赛车彩票_快乐赛车官方【极速取款】 幸运赛车走势_幸运赛车彩票|【官网】 秒速28网站_秒速28平台|平台-Welcome 幸运28官网_幸运28游戏-官方版 快乐飞艇软件_快乐飞艇app下载安装-官方版 快乐飞艇_快乐飞艇官网|信誉平台 手机购彩官网-官方认证 实时开奖秒速时时彩_德国赛车开奖官方网站-「官网_Welcome」 幸运赛车彩票_幸运赛车网址_【官网】