随着Internet成为人们当今服务的主要网关,Web浏览器经常成为黑客和安全研究人员试图发现潜在漏洞的目标。腾讯的刀片安全团队发现了一个这样的漏洞,绰号为“麦哲伦”。虽然它会影响使用开源Chromium引擎的大量浏览器,包括Google Chrome本身,但这并不是Web浏览器有问题。取而代之的是,不仅Chromium使用SQLite数据库,而且数百甚至数千个应用程序也使用SQLite数据库。
SQL是一种关系数据库,在大量应用程序中使用,从保存网站和博客中提供的数据到智能手机上移动应用程序存储的数据片段。SQL有许多实现,包括像MySQL和PostgreSQL这样的重量级人物,但是SQLite却因为轻巧,简单和易于使用而受到许多应用程序和开发人员的青睐。
不幸的是,这也意味着像麦哲伦这样的漏洞也具有广泛的覆盖范围。正是由于这种考虑,腾讯才没有向公众发布太多有关它的信息。简而言之,该错误会使远程访问SQLite数据库的黑客能够执行潜在的恶意代码,甚至使浏览器崩溃。它已经向SQLite和Google开发人员报告了该漏洞,他们已经在其末端及时修补了代码。
由于该错误会影响基本的Chromium浏览器引擎,因此它会扩展到使用该浏览器的所有浏览器。好消息是,自版本71.0.3578.80起,Chromium已经安全。据报道,谷歌浏览器,维瓦尔第和勇敢者正在使用此最新版本,但未使用Opera。Safari根本不受影响,但如果黑客获得了对它使用的本地SQLite数据库的访问权限,则Firefox可能会受到攻击。
SQLite本身已从3.26版本开始修复,但其中存在另一个问题。应用开发人员和服务器管理员通常对更新关键软件(例如数据库)保持警惕,因为如果出现问题,可能会完全删除数据。从Android 8.1 Oreo开始,Android还使用旧的3.19版本的SQLite。但是,根据麦哲伦的严重程度,他们可能对此事别无选择。如果他们首先备份了备份,它们可能也有机会检查备份是否已更新并且状态良好。