近日,苹果公司连连发布六则官网公告,每则公告都致谢腾讯团队,致谢Tencent Blade Team披露SQLite漏洞,同时在这些公告中,也提醒了苹果用户更新苹果旗下的多款软件。好地研究院(南京、徐州)招聘启事凯时国际娱乐,
SQLite漏洞这款率先被腾讯安全平台部Blade发现,(Blade团队暂且将这款漏洞称为“麦哲伦”)而在此之前, SQLite漏洞中危害最大的漏洞已存在8年已久,影响的范围极大。
此前的2017年,Blade团队就公布过SQLite有着内存破坏漏洞,一是可以通过SQLite数据库的文件格式引起内存破坏,而另一种是指SQLite解析器触发sql语句中的错误。
而2018年,Tencent Blade Team又发现SQLite还存在着远程代码执行漏洞。这款漏洞可以通过调用Web SQL API而被触发,修改数据库表,接着可以通过使用SQLite数据库表索引操作而触发漏洞,从而在浏览器Render进程中实现远程代码执行,更为让人吃惊的是,使用SQLite中的其他应用也不能避免这款漏洞,只要以类似的方式也可以实现远程代码执行。这表示SQLite漏洞存在着大范围的“危险领域”。
但这还远不止,如今SQLite已嵌入数千个应用程序之中,而这些程序也不可避免地受到影响。值得一提的是这些程序中也包括如今被广泛应用的Web浏览器、Android和iOS应用程序等。同时Chromium的浏览器引擎也支持Web SQL API,这也表示,Chrome、Vivaldi、Opera、Brave也将会受到影响。
这项漏洞被Tencent Blade Team披露后,苹果公司SQLite团队也开始抓紧时间修复SQLite漏洞。据悉,苹果公司已经修复了漏洞,目前已经公布了SQLite的最新版本,Chromium也更新了最新版本,同时,禁用了Web SQL API,关闭了SQLite中的fts3,并督促用户尽快更新软件。但是经此一事,对苹果SQLite来说,将在很长时间内难以恢复元气。
而这项漏洞的发现者Tencent Blade Team是两年前由腾讯安全平台创立的,利来娱乐英杰电气:自主创新打破行业长期被进口。之后逐渐名声大振,目前发现了亚马逊、微软、苹果、谷歌等著名科技公司的100余个安全漏洞,曾获得“小米年度安全最佳守护者”。其中,包括去年8月份,亚马逊破解亚马逊Echo智能音箱的漏洞,9月份,首次公开恶性代码威胁全球摄像头, 11月份发现谷歌Home智能音箱的多个漏洞,而随后这谷歌首次对外承认这是无法接触攻破的安全漏洞。
而这次,TencentBlade Team不仅证明了实力,也为广大用户避免一次“危机”。返回搜狐,查看更多