SIKKERHET

All Chromium-basert programvare må oppdateres etter funn av databasesårbarheter

Kan trolig utnyttes av ondsinnede websider.

Ingenting tyder på at de omtalte sårbarhetene har blitt utnyttet i faktiske angrep.
Ingenting tyder på at de omtalte sårbarhetene har blitt utnyttet i faktiske angrep. Illustrasjon: PantherMedia/Sergey Nivens
Harald BrombachHarald BrombachNyhetsleder
27. des. 2019 - 11:13

Kinesiske Tencent Blade Team har funnet en samling sårbarheter i det integrerbare databasesystemet SQLite. Sårbarhetene kalles samlet for Magellan 2.0. Versjonsnummeret skyldes at den samme gruppen fant flere lignende sårbarheter i SQLite for omtrent et år siden. Disse ble kalt for Magellan (nå 1.0)

Web SQL

Felles for begge versjoner av Magellan er at de i alle fall kan utnyttes i Chromium-basert programvare. Dette gjelder Googles nettleser Chrome, men også andre nettlesere, smartenheter, mobilapper og annen programvare basert på Chromium, hvor Web SQL-funksjonaliteten er aktivert.

Dia er navnet på den seneste KI-nettleserprototypen fra The Browser Company.
Les også

Ny KI-nettleser kommer med musepeker som styrer seg selv

Web SQL er egentlig en utdatert teknologi som i betydelig grad har blitt erstattet av NoSQL-teknologien Indexed Database API. Det er ventet at nettleserstøtte for Web SQL vil bli fjernet helt på sikt. Støtten har allerede blitt fjernet fra Apple Safari, mens Firefox aldri har støttet Web SQL.

Sikkerhetsfikser

I Chrome har sårbarhetene blitt fjernet i versjonen 79.0.3945.79 og nyere. Google og SQLite Consortium ble varslet om sårbarhetene den 16. november i år. Oppdatert kode som fjernet sårbarhetene skal ha vært tilgjengelig fra begge parter den 27. november. Chrome 79.0.3945.79 ble utgitt den 11. desember. Det har ikke kommet noen ny versjon av SQLite siden versjon 3.30.1 ble utgitt den 10. oktober.

Tencent har foreløpig ikke offentliggjort detaljer om sårbarhetene, utover at de kan åpne for fjernkjøring av vilkårlig kode, lekke programminne eller forårsake programvarekrasj. Det er ikke kjent at sårbarhetene har blitt utnyttet i faktiske angrep. 

SQLite er et svært kompakt relasjonsdatabasesystem som distribueres som et C-bibliotek som integreres med programvare som har behov for et integrert databasesystem. Dette gjelder langt mer programvare enn nettleserne som støtter Web SQL, inkludert operativsystemer som Android og Windows 10.

Kinesiske rutere bør forbys, mener to kongressmedlemmer i USA. Ruteren på bildet har ikke noe med saken å gjøre.
Les også

Amerikanske politikere krever forbud mot kinesiske rutere

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra