Los investigadores de seguridad Blade de Tencent han descubierto una vulnerabilidad crítica en SQLite. Apodado como Magellan, la falla permitiría a los atacantes remotos ejecutar código arbitrario en los dispositivos afectados, acceder a la memoria del programa o bloquear las aplicaciones.

SQLite es un sistema de gestión de bases de datos relacionales basado en disco, liviano y ampliamente utilizado que requiere un soporte mínimo de sistemas operativos o bibliotecas externas y, por lo tanto, compatible con casi todos los dispositivos, plataformas y lenguajes de programación.

SQLite es el motor de base de datos más implementado en el mundo hoy en día, y lo utilizan millones de aplicaciones con literalmente miles de millones de implementaciones, incluidos dispositivos IoT, macOS y aplicaciones de Windows, incluidos los principales navegadores web, como el software de Adobe, Skype y muchos otros.

Dado que los navegadores web basados ​​en Chromium, incluidos Google Chrome, Opera, Vivaldi y Brave, también son compatibles con SQLite a través de la API de base de datos web SQL obsoleta, un atacante remoto puede atacar fácilmente a los usuarios de los navegadores afectados con solo convencerlos de que visiten un sitio web especialmente diseñado.

"Chromium también se ve afectado por esta vulnerabilidad.. Google confirmó y solucionó esta vulnerabilidad", dijeron los investigadores en una publicación del blog.

SQLite ha lanzado la versión actualizada 3.26.0 de su software para abordar el problema después de recibir la divulgación responsable de los investigadores. Google también ha lanzado la versión 71.0.3578.80 de Chromium para solucionar el problema y ha llevado la versión parcheada a la última versión de los navegadores web Google Chrome y Brave.

Los investigadores de Tencent dijeron que construyeron con éxito un exploit de prueba de concepto utilizando la vulnerabilidad de Magellan y probaron con éxito su exploit contra Google Home.

Dado que la mayoría de las aplicaciones no se pueden parchear antes, los investigadores han decidido no revelar al público los detalles técnicos y el código de vulnerabilidad de prueba de concepto.

"No revelaremos ningún detalle de la vulnerabilidad en este momento, y estamos presionando a otros proveedores para que solucionen esta vulnerabilidad lo antes posible", dijeron los investigadores.

Dado que SQLite es utilizado por todos, incluidos Adobe, Apple, Dropbox, Firefox, Android, Chrome, Microsoft y un montón de otros programas, la vulnerabilidad de Magellan es un problema notable, incluso si aún no se ha explotado in-the-wild.

Se recomienda a los usuarios y administradores que actualicen sus sistemas y las versiones de software afectadas a la última versión tan pronto como estén disponibles.

Fuente: THN