安全研究員披露 Chrome 的 Magellan 2.0 漏洞

安全研究員披露 Chrome 的 Magellan 2.0 漏洞
2019年12月25日 15時16分騰訊安全研究員披露了 Google Chrome 的新 Magellan 2.0 漏洞。研究人員共發(fā)現(xiàn)了 5 個漏洞,位于 SQLite 中,統(tǒng)稱為 Magellan 2.0,這組漏洞允許攻擊者在 Google Chrome 內(nèi)遠程運行惡意代碼。Google 與 SQLite 官方已確認并修復(fù)了漏洞。如果用戶使用 2019 年 12 月 13 日前的舊版本 SQLite 或運行低于 Chrome 79.0.3945.79 并啟用了 WebSQL 的設(shè)備,那么可能會受到影響。和 Magellan 1.0 類似,這組新漏洞是因為 SQLite 數(shù)據(jù)庫從第三方接受 SQL 命令輸入驗證不正確導(dǎo)致的。攻擊者可以制作包含惡意代碼的 SQL 操作命令,當 SQLite 數(shù)據(jù)庫引擎讀取該指令時會執(zhí)行惡意代碼。
