SQLite被曝存在一個影響數千應用的漏洞，受害應用包括所有基於Chromium的瀏覽器。據ZDNet報導，該漏洞由騰訊Blade安全團隊發現，允許攻擊者在受害者的計算機上運行惡意代碼，並在危險較小的情況下泄漏程序內存或導致程序崩潰。

由於SQLite 嵌入在數千個應用程序中，因此該漏洞會影響各種軟件，包括物聯網設備、桌面軟件、Web 瀏覽器、Android 與 iOS 應用。

如果底層瀏覽器支持SQLite 和Web SQL API，那麼將漏洞利用代碼轉換為常規SQL 語法也可以通過訪問網頁等操作遠程利用此漏洞。Chromium 瀏覽器引擎支持此API，這意味著像Chrome、Vivaldi、Opera 和Brave 等瀏覽器都會受到影響，而Firefox 和Edge 由於不支持此API，因此不受影響。

騰訊Blade 研究人員表示，他們在今年秋季早些時候向SQLite 團隊報告了此問題，SQLite 3.26.0 中進行了修復。Chrome 71 已經解決了該問題，但是Opera 的Chromium 版本還沒有更新，這意味著它很可能還會受到影響。

另一方面，雖然Firefox不支持Web SQL API，不會受到遠程利用攻擊，但是其自帶了一個本地可訪問的SQLite ，這意味著本地攻擊者可能利用此漏洞來執行代碼。

ZDNet表示，由於者很少更新代碼庫及其應用的組件部分，因此很可能這個漏洞在接下來幾年內還會持續產生影響，因此，騰訊Blade團隊表示暫時不會發布任何概念驗證漏洞利用代碼。

了解更多：