SIKKERHET

All Chromium-basert programvare må oppdateres etter funn av databasesårbarheter

Kan trolig utnyttes av ondsinnede websider.

Ingenting tyder på at de omtalte sårbarhetene har blitt utnyttet i faktiske angrep.
Ingenting tyder på at de omtalte sårbarhetene har blitt utnyttet i faktiske angrep. Illustrasjon: PantherMedia/Sergey Nivens
Harald BrombachHarald BrombachNyhetsleder
27. des. 2019 - 11:13

Kinesiske Tencent Blade Team har funnet en samling sårbarheter i det integrerbare databasesystemet SQLite. Sårbarhetene kalles samlet for Magellan 2.0. Versjonsnummeret skyldes at den samme gruppen fant flere lignende sårbarheter i SQLite for omtrent et år siden. Disse ble kalt for Magellan (nå 1.0)

Web SQL

Felles for begge versjoner av Magellan er at de i alle fall kan utnyttes i Chromium-basert programvare. Dette gjelder Googles nettleser Chrome, men også andre nettlesere, smartenheter, mobilapper og annen programvare basert på Chromium, hvor Web SQL-funksjonaliteten er aktivert.

Incognito-modusen opplyser rimelig tydelig at aktiviteten ikke er helt privat, men likevel har et søksmål mot Google nå endt med et forlik.
Les også

Google inngår forlik etter milliardsøksmål om Chromes inkognitomodus

Web SQL er egentlig en utdatert teknologi som i betydelig grad har blitt erstattet av NoSQL-teknologien Indexed Database API. Det er ventet at nettleserstøtte for Web SQL vil bli fjernet helt på sikt. Støtten har allerede blitt fjernet fra Apple Safari, mens Firefox aldri har støttet Web SQL.

Sikkerhetsfikser

I Chrome har sårbarhetene blitt fjernet i versjonen 79.0.3945.79 og nyere. Google og SQLite Consortium ble varslet om sårbarhetene den 16. november i år. Oppdatert kode som fjernet sårbarhetene skal ha vært tilgjengelig fra begge parter den 27. november. Chrome 79.0.3945.79 ble utgitt den 11. desember. Det har ikke kommet noen ny versjon av SQLite siden versjon 3.30.1 ble utgitt den 10. oktober.

Tencent har foreløpig ikke offentliggjort detaljer om sårbarhetene, utover at de kan åpne for fjernkjøring av vilkårlig kode, lekke programminne eller forårsake programvarekrasj. Det er ikke kjent at sårbarhetene har blitt utnyttet i faktiske angrep. 

SQLite er et svært kompakt relasjonsdatabasesystem som distribueres som et C-bibliotek som integreres med programvare som har behov for et integrert databasesystem. Dette gjelder langt mer programvare enn nettleserne som støtter Web SQL, inkludert operativsystemer som Android og Windows 10.

Sikkerhetsekspert Marius Sandbu i Sopra Steira har sluttet å la seg overraske etter at det har vært avdekket mange svakheter i VPN-løsninger de siste årene.
Les også

Nulldagssårbarhet: Ber Ivanti-brukere ta grep umiddelbart

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.