CNVD-2018-24855：SQLite 远程代码执行漏洞

今日CNVD（国家信息安全漏洞共享平台）发布安全通告，对腾讯安全平台部Blade团队发现报告的SQLite远程代码执行漏洞进行了预警。此漏洞可实现远程代码执行，具体的漏洞细节尚未公开。

漏洞相关信息

漏洞由腾讯Blade团队发现并报告，目前命名为Magellan（麦哲伦），经Blade团队测试Chromium浏览器会受到影响，Google和SQLite也已经确认并修复了漏洞。

漏洞可利用调用Web SQL API触发，修改数据库表，并利用SQLite数据库索引操作触发漏洞，在浏览器Render进程中实现远程代码执行。

使用SQLite的其他应用也可通过类似方式在相应进行中实现远程代码执行。

目前CNVD对此漏洞评级为高危。

漏洞影响

Chromium低于71.0.3578.80版本

SQLite低于3.26.0版本

漏洞修复

1.将Chromium及SQLite更新至最新版本。

2.禁用Web SQL API、关闭SQLite中的fts3。

漏洞公告

http://www.cnvd.org.cn/webinfo/show/4803