Неприятная уязвимость в SQLite затрагивает тысячи приложений
dl // 16.12.18 21:08
Команда Tencent Blade сообщает об уязвимости в популярном движке SQLite (используется в огромном количестве приложений на всех платформах), позволяющей атакующему выполнить на пользовательском компьютере произвольный код или как минимум уронить атакуемое приложение.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/12/02.html]
Неприятная новость в том, что уязвимость может быть использована удалённо при простом обращении к web-странице, если используемый браузер поддерживает Web SQL API. Совсем неприятная новость - его поддерживают все браузеры, основанные на движке Chromium (Chrome, Vivaldi, Opera и т.п.).
Вышедшая 1 декабря версия SQLite 3.26.0 включает исправление, но остальным разработчикам ещё потребовалось время на обновление приложений. Например, исправленный Google Chrome 71 вышел только на минувшей неделе.