去年於嵌入式資料庫SQLite中發現麥哲倫(Magellan)漏洞的騰訊Blade安全研究團隊,本周揭露了同樣位於SQLite的麥哲倫2.0(Magellan 2.0)漏洞,麥哲倫2.0涉及5個安全漏洞,成功的開採將會外洩程式記憶體、造成程式當掉或用來執行遠端程式,SQLite官方及在Chrome瀏覽器中採用SQLite的Google,都已修補了相關漏洞。
SQLite為一嵌入式資料庫,多半被整合在各種應用中,如作業系統與瀏覽器,包括全球最受歡迎的Chrome瀏覽器也採用了SQLite。Blade安全研究團隊指出,只要是使用SQLite作為應用程式的元件,且支援外部SQL查詢,或者是使用啟用了WebSQL的Chrome瀏覽器,都會受到麥哲倫 2.0的影響。
研究人員指出,他們已證實可在Chromium的渲染程序中執行遠端程式,但這些漏洞尚未被其他人開採。
麥哲倫2.0漏洞涵蓋了CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019-13752及CVE-2019-13753,且Google已在本月釋出的Chrome 79修補了上述漏洞,根據Google的說明,這些漏洞與SQLite的資料驗證不足、未初始化使用、越界讀取及越界寫入有關。至於SQLite也已在12月13日修補了相關漏洞。
Blade安全研究團隊提醒,在啟用WebSQL的瀏覽器中,出現以下任何的情況都會遭麥哲倫2.0波及,包括使用Chrome/Chromium 79以前的版本、使用舊版Chrome/Chromium的智慧裝置、基於舊版Chromium/Webview的瀏覽器、使用舊版Webview且能存取任何網頁的Android程式,以及使用舊版Chromium並能存取任何網頁的軟體。
倘若沒有更新到新版SQLite或Chrome,只要資料庫不接受外部SQL查詢或瀏覽器關閉WebSQL功能,亦可防範上述漏洞。
Line OA / 服務類
網站技術:PHP/MySql
針對銀老族群與有需求者要使用的產品都可以透過來復易LINE OA官方帳號來做詢問,了解產品資訊、如何挑選、照護須知.....等等。功能介面簡易不複雜,所有年齡操作都不是問題。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 休閒餐飲類
網站技術:PHP . Javascript/MySql
丹醇用最新鮮的原料製作最安心的商品,追求吃進身體裡面的食物與飲品都是健康、安全、無負擔。 網站主打線上訂購乳製品,簡易的下定流程,對於第一次使用的會員也不是問題,也能配合指定的時間抵達喔。
APP / 醫療衛生類
網站技術:PHP . JAVA . Javascript . iOS . Android/MySql
免費提供全台灣中醫醫療院所資訊查詢,使用中醫地圖搜尋民眾需要之醫療院所,建立民眾最直接、最快速的搜尋平台,並給予中醫養生保健、健康醫療即時資訊。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策