Kinesiske Tencent Blade Team har funnet en samling sårbarheter i det integrerbare databasesystemet SQLite. Sårbarhetene kalles samlet for Magellan 2.0. Versjonsnummeret skyldes at den samme gruppen fant flere lignende sårbarheter i SQLite for omtrent et år siden. Disse ble kalt for Magellan (nå 1.0).
Web SQL
Felles for begge versjoner av Magellan er at de i alle fall kan utnyttes i Chromium-basert programvare. Dette gjelder Googles nettleser Chrome, men også andre nettlesere, smartenheter, mobilapper og annen programvare basert på Chromium, hvor Web SQL-funksjonaliteten er aktivert.
Web SQL er egentlig en utdatert teknologi som i betydelig grad har blitt erstattet av NoSQL-teknologien Indexed Database API. Det er ventet at nettleserstøtte for Web SQL vil bli fjernet helt på sikt. Støtten har allerede blitt fjernet fra Apple Safari, mens Firefox aldri har støttet Web SQL.
Sikkerhetsfikser
I Chrome har sårbarhetene blitt fjernet i versjonen 79.0.3945.79 og nyere. Google og SQLite Consortium ble varslet om sårbarhetene den 16. november i år. Oppdatert kode som fjernet sårbarhetene skal ha vært tilgjengelig fra begge parter den 27. november. Chrome 79.0.3945.79 ble utgitt den 11. desember. Det har ikke kommet noen ny versjon av SQLite siden versjon 3.30.1 ble utgitt den 10. oktober.
Tencent har foreløpig ikke offentliggjort detaljer om sårbarhetene, utover at de kan åpne for fjernkjøring av vilkårlig kode, lekke programminne eller forårsake programvarekrasj. Det er ikke kjent at sårbarhetene har blitt utnyttet i faktiske angrep.
SQLite er et svært kompakt relasjonsdatabasesystem som distribueres som et C-bibliotek som integreres med programvare som har behov for et integrert databasesystem. Dette gjelder langt mer programvare enn nettleserne som støtter Web SQL, inkludert operativsystemer som Android og Windows 10.
