Opnieuw ernstig lek in Google Chrome door SQLite-kwetsbaarheden

Abonneer je gratis op Techzine!

Een nieuwe verzameling van vijf SQLite-kwetsbaarheden maakt de Chrome-browser van Google opnieuw gevoelig voor het uitvoeren van schadelijke code vanop afstand. Opnieuw, want het is bijna exact een jaar geleden dat een gelijkaardig lek werd ontdekt.

De kwetsbaarheden werden, net als vorig jaar, ontdekt door het Blade-beveiligingsteam van Tencent en krijgen de verzamelnaam “Magellan 2.0”. Alle applicaties die gebruikmaken van een SQLite-database zijn kwetsbaar. Het gevaar voor misbruik is het grootst in Google Chrome, omdat de WebSQL-api van de browser gebruikers standaard blootstelt voor aanvallen vanop afstand.

Net als de originele Magellan-kwetsbaarheden, worden deze nieuwe varianten veroorzaakt door onjuiste invoervalidatie van SQL-opdrachten die de SQLite-database van een derde partij ontvangt, zo schrijft ZDNet. Dat laat een aanvaller toe om code vanop afstand uit te voeren, programmageheugen te lekken of een programma te doen crashen.

Google Chrome

Het gevaar voor aanvallen vanop afstand over het internet bestaat alleen wanneer een applicatie directe invoer toelaat van SQL-commando’s. Dat is zelden het geval. De WebSQL-api in Google Chrome laat standaard evenwel toe om een gelijkaardig effect te bereiken.

De api vertaalt JavaScript naar SQL-commando’s, die vervolgens worden uitgevoerd in de SQLite-database van Chrome. WebSQL is standaard geactiveerd in Chrome, maar bijvoorbeeld ook in Opera, dat eveneens op de Chromium-engine is gebaseerd.

Patches beschikbaar

Google en SQLite werden allebei op de hoogte gebracht door Tencent Blade en verhielpen de kwetsbaarheden met recente updates. Gebruikers van Google Chrome zijn beschermd vanaf versie 79.0.3945.79, die twee weken geleden beschikbaar werd gemaakt.

De patches voor SQLite zijn ook beschikbaar, maar maken voorlopig nog geen deel uit van de stabiele release.

Volgens Tencent werden de kwetsbaarheden nog niet in het wild misbruikt. Het Chinese bedrijf deelt in de komende maanden meer details over de bugs. De bekendmaking nu is om ontwikkelaars op de hoogte te stellen en tijd te geven om hun SQLite-databases te updaten.