Разработчики SQLite представили версию 3.13.0, в которой была устранена уязвимость, обнаруженная специалистами компании KoreLogic. Хотя изначально предполагалось, что найденный баг носит исключительно локальный характер, вскоре стало ясно, что уязвимость может быть опасна не только в случае локальной эксплуатации.
Так как патч уже вышел, исследователи KoreLogic обнародовали детальную информацию об уязвимости. Проблема затрагивает все версии SQLite, за исключением новейшей. Суть бага в том, как SQLite создает временные файлы в директориях с некорректными правами доступа. Конечно, это не уязвимость уровня Heartbleed, однако SQLite используется в продуктах Adobe, Apple, Dropbox, Firefox, Android, Chrome, Microsoft и так далее, а значит, баг все же был вполне существенным.
Исследователи KoreLogic высказали опасения, что проблема в SQLite может создать своего рода «эффект домино»:
«Это может привести к тому, что другое ПО, использующее библиотеки SQLite, начнет демонстрировать опасное поведение. К примеру, возможны утечки конфиденциальных данных, а библиотеки SQLite могут быть открыты для атак с помощью преднамеренно поврежденных временных файлов».
Так как исправление уже представлено, всем настоятельно рекомендуется обновиться до версии 3.13.0.
