科技獵安全研究員披露 Chrome 的 Magellan 2.0 漏洞
安全研究員披露 Chrome 的 Magellan 2.0 漏洞
2019年12月25日 15時16分騰訊安全研究員披露了 Google Chrome 的新 Magellan 2.0 漏洞。研究人員共發現了 5 個漏洞,位于 SQLite 中,統稱為 Magellan 2.0,這組漏洞允許攻擊者在 Google Chrome 內遠程運行惡意代碼。Google 與 SQLite 官方已確認并修復了漏洞。如果用戶使用 2019 年 12 月 13 日前的舊版本 SQLite 或運行低于 Chrome 79.0.3945.79 并啟用了 WebSQL 的設備,那么可能會受到影響。和 Magellan 1.0 類似,這組新漏洞是因為 SQLite 數據庫從第三方接受 SQL 命令輸入驗證不正確導致的。攻擊者可以制作包含惡意代碼的 SQL 操作命令,當 SQLite 數據庫引擎讀取該指令時會執行惡意代碼。
本文被轉載1次
首發媒體
| 轉發媒體
