Detectan nuevas vulnerabilidades en el motor de base de datos SQLite que afectan una amplia gama de aplicaciones que lo utilizan como componente dentro de sus paquetes de software.
SQLite es un sistema de administración de bases de datos relacionales que es utilizado por una amplia variedad de programas, incluidos Google Chrome, Mozilla Firefox, Windows 10 y muchos otros programas conocidos.
Casi un año después de revelar las vulnerabilidades originales de SQLite de Magellan 1.0, Tencent Blade Team ha revelado otro lote de vulnerabilidades de SQLite llamado Magellan 2.0.
"Estas vulnerabilidades fueron encontradas por Tencent Blade Team y verificadas para poder explotar la ejecución remota de código en el proceso de renderizado de Chromium", reveló Tencent en un aviso . "Como una base de datos bien conocida, SQLite se usa ampliamente en todos los sistemas operativos y softwares modernos, por lo que esta vulnerabilidad tiene una amplia gama de influencia. SQLite y Google han confirmado y corregido estas vulnerabilidades. No revelaremos ningún detalle de la vulnerabilidad en este momento, y estamos presionando a otros proveedores para que solucionen esta vulnerabilidad lo antes posible ".
Utilizando estas vulnerabilidades, Tencent pudo ejecutar comandos de forma remota en Google Chrome siempre que WebSQL estuviera habilitado en el navegador. Esta es una vulnerabilidad crítica, ya que significa que los atacantes remotos podrían usar esta vulnerabilidad para comprometer completamente una computadora.
"Si está utilizando un software que utiliza SQLite como componente (sin el último parche, que es el 13 de diciembre de 2019), y admite consultas SQL externas. O está utilizando Chrome anterior a 79.0.3945.79 con WebSQL habilitado, puede verse afectado. Otros dispositivos como PC / dispositivos móviles / dispositivos IoT también pueden verse afectados, depende de si hay una superficie de ataque adecuada ".
Tencent no ha visto ninguna indicación de que estas vulnerabilidades se hayan utilizado en la naturaleza y las denunció a Google y SQLite el 16 de noviembre de 2019.
Después de informar las vulnerabilidades, se les asignaron ID de CVE CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753 y se repararon en Google Chrome 79.0.3945.79 y en parches aplicados a SQLite el 13 de diciembre de 2019.
Todo el software que utiliza SQLite como componente integrado debe instalar la última versión del software para permanecer protegido.
https://blade.tencent.com/magellan2/index_en.html
