Kriittinen haavoittuvuus SQLite -tietokantakirjastossa sekä Chromium pohjaisissa web-selaimissa

Tietoturvatutkijat (Tencent Blade Team) ovat löytäneet kriittisen verkon yli hyödynnettävissä olevan (RCE) haavoittuvuuden SQLite tietokantakirjastosta, joka altistaa hyvin suuren määrän erilasia ohjelmistoja hyväksikäytölle. Tutkijat olivat myös todentaneet saman haavoittuvuuden Chromium-pohjaisissa web-selaimissa.

Haavoittuvuudelle on annettu nimeksi "Magellan" ja sen hyväksikäyttö voi mahdollistaa kohdejärjestelmän muistin rajoittamattoman lukemisen tai sovelluksen suorituksen häiriintymisen ja kaatumisen. Tutkijat eivät ole julkaisseet vielä toistaiseksi hyväksikäyttömenetelmää (PoC) tai tarkempia yksityiskohtia hyökkäyksestä. Vielä ei myöskään ole havaittu että haavoittuvuutta hyödynnettäisiin missään käynnissä olevissa hyökkäyksissä.

SQLite on hyvin yleisesti erilaisissa sovelluksissa sekä käyttöjärjestelmissä käytetty relaatiotietokantajärjestelmä. Järjestelmä on toteutettu pienenä C-kielellä toteutettuna kirjastona ja se linkitetään suoraan sitä käyttävään sovellukseen, ilman erillistä tietokantarajapintaa tai tietokannanhallintaohjelmistoa.

Haavoittuvuus koskee kaikkia SQLite kirjaston 3.26.0 versiota aiempia julkaisuja käyttäviä sovelluksia, mutta sen hyväksikäyttömahdollisuudet vaihtelevat sovelluskohtaisesti.

Chromium web-selaimista kaikki julkaisua 71.0.3578.80 vanhemmat versiot ovat haavoittuvia.

Haavoittuvuuden kohde

SQLite kirjaston 3.26.0 versiota aiempia julkaisuja käyttävät sovellukset

Chromium web-selaimien kaikki julkaisua 71.0.3578.80 vanhemmat versiot

Mistä on kysymys?

Korjaavat ohjelmistopäivitykset

Mitä voin tehdä?

Tencent Blade Team - Magellan

SQLite bug impacts thousands of apps, including all Chromium-based browsers

Critical SQLite Flaw Leaves Millions of Apps Vulnerable to Hackers

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.