Разработчики SQLite представили версию 3.13.0, в которой была устранена уязвимость, обнаруженная специалистами компании KoreLogic. Хотя изначально предполагалось, что найденный баг носит исключительно локальный характер, вскоре стало ясно, что уязвимость может быть опасна не только в случае локальной эксплуатации.

Так как патч уже вышел, исследователи KoreLogic обнародовали детальную информацию об уязвимости. Проблема затрагивает все версии SQLite, за исключением новейшей. Суть бага в том, как SQLite создает временные файлы в директориях с некорректными правами доступа. Конечно, это не уязвимость уровня Heartbleed, однако SQLite используется в продуктах Adobe, Apple, Dropbox, Firefox, Android, Chrome, Microsoft и так далее, а значит, баг все же был вполне существенным.

Исследователи KoreLogic высказали опасения, что проблема в SQLite может создать своего рода «эффект домино»:

«Это может привести к тому, что другое ПО, использующее библиотеки SQLite, начнет демонстрировать опасное поведение. К примеру, возможны утечки конфиденциальных данных, а библиотеки SQLite могут быть открыты для атак с помощью преднамеренно поврежденных временных файлов».

Так как исправление уже представлено, всем настоятельно рекомендуется обновиться до версии 3.13.0.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии