Een kwetsbaarheid in de populaire SQLite-database engine zorgt ervoor dat duizenden desktop- en mobiele apps risico lopen. De fout, ontdekt door het Blade-beveiligingsteam van Tencent, laat een aanvaller malafide code draaien op de computer van een slachtoffer. Dat meldt ZDNet.
Ook is het mogelijk om met de kwetsbaarheid programma-geheugen te lekken of ervoor te zorgen dat het programma crasht. SQLite zit in duizenden apps, waardoor de kwetsbaarheid impact heeft op veel verschillende soorten software. Het gaat onder meer om software voor computers en IoT-apparaten. Zelfs webbrowsers en Android- en iOS-apps kunnen gevaar lopen.
De kwetsbaarheid kan volgens de onderzoekers ook op afstand misbruikt worden door simpelweg toegang te krijgen tot een webpagina. Dit kan als de onderliggende browser SQLite ondersteunt en de Web SQL API gebruikt, die zich de exploit-code vertaalt naar normale SQL syntax. Firefox en Edge ondersteunen de API niet, maar de open source-browser engine Chromium doet dat wel. Dat betekent dat onder meer Google Chrome, Vivaldi, Opera en Brave gevaar lopen.
Verder lopen apps risico, waaronder Google Home. “We hebben Google Home succesvol geëxploiteerd met deze kwetsbaarheid”, aldus het team van Tencent Blade.
Oplossing
De onderzoekers stellen het probleem eerder in de herfst gemeld te hebben bij het SQLite-team. Op 1 december werd met de lancering van SQLite 3.26.0 een oplossing verscheept. De oplossing werd ook in Chromium, en later in Google Chrome 71, geplaatst. Opera draait echter op de vorige versie van Chromium, waardoor deze browser nog steeds kwetsbaar is.
Naar alle waarschijnlijkheid blijven veel apps in de komende jaren echter nog kwetsbaar. Het updaten van de onderliggende database engine voor een desktop-, mobiele of web-app is een gevaarlijk proces, wat soms resulteert in datacorruptie. De meeste programmeurs vermijden dit dan ook zo lang mogelijk.
Om die reden heeft het team van Tencent Blade gezegd voorlopig geen proof-of-concept exploit-code te publiceren. Andere beveiligingsonderzoekers zijn al begonnen met het doorzoeken van de SQLite-patch, om uit te vinden hoe de kwetsbaarheid precies werkt.
18 uur geleden
