Хакер #305. Многошаговые SQL-инъекции
Специалисты Tencent Blade сообщили, что в SQLite обнаружены пять новых уязвимостей, получившие общее название Magellan 2.0 (CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752 и CVE-2019-13753). Они позволяют удаленно запустить произвольный код в браузере Chrome, а также приводят к утечке памяти или сбою в работе программы.
Проблема опасна для любых приложений, использующих в работе SQLite, однако риски для пользователей Chrome выше из-за API-интерфейса WebSQL, который подвергает пользователей опасности удаленных атак. Аналогичным рискам подвергаются и пользователи Opera.
Напомню, что год назад, в декабре 2018 года, те же специалисты обнаружили в SQLite опасные проблемы, которые получили название Magellan (CVE-2018-20346, CVE-2018-20505 и CVE-2018-20506.). Баги позволяли исполнять произвольный код, приводили к утечке памяти программ, «падениям» приложений и в общей сложности угрожали тысячам мобильных и десктопных продуктов. Так как SQLite можно обнаружить в составе самых разных решений, проблема затрагивала IoT-устройства, десктопный софт, браузеры и приложения для iOS и Android.
Теперь исследователи Tencent Blade рассказали о новых багах, которые также связаны с некорректной проверкой ввода в командах SQL, которые база данных SQLite получает от третьих лиц. В итоге для эксплуатации проблемы атакующему достаточно создать операцию SQL, содержащую вредоносный код. То есть вредоносный сайт может использовать Magellan 2.0 для запуска вредоносного кода в браузерах своих посетителей.
К счастью, исследователи сообщают, что разработчики Chrome уже устранили все баги из состава Magellan 2.0 с релизом Chrome 79.0.3945.79, состоявшемся две недели назад. Девелоперы SQLite тоже исправили ошибки еще 13 декабря 2019 года, но эти патчи пока не были включены в стабильную ветку SQLite (новейшей версией остается 3.30.1, выпущенная 10 декабря 2019 года).
Эксперты Tencent Blade подчеркивают, что им неизвестно о существовании каких-либо эксплоитов для обнаруженных проблем, равно как и о случаях атак на эти уязвимости. В ближайшее время исследователи намерены опубликовать более детальную информацию об уязвимостях, но пока они ограничились кратким изложением своих выводов, давая разработчикам приложений возможность обновиться.