Suicide
24.12.2019, 20:19
Исследователи безопасности из китайской компании Tencent представили (https://blade.tencent.com/achievements/sqlite_v2/) новый вариант уязвимости Magellan (https://blade.tencent.com/achievements/sqlite_v2/) (CVE-2019-13734 (https://security-tracker.debian.org/tracker/CVE-2019-13734)), позволяющей добиться выполнения кода при обработке в СУБД SQLite определённым образом оформленных SQL-конструкций. Похожая уязвимость была опубликована (https://www.opennet.ru/opennews/art.shtml?num=49784) теми же исследователями год назад. Уязвимость примечательна тем, что позволяет удалённо атаковать браузер Chrome и добиться получения контроля над системой пользователя при открытии подконтрольных злоумышленнику web-страниц.
Атака на Chrome/Chromium осуществляется через API WebSQL, обработчик которого основывается на коде SQLite. Атака на другие приложения возможна только если они допускают передачу в SQLite SQL-конструкций, поступающих извне, например, используют SQLite в качестве формата для обмена данными. Firefox уязвимости не подвержен, так как компания Mozilla отказались (https://bugzilla.mozilla.org/show_bug.cgi?id=1247329) от реализации WebSQL в пользу (https://hacks.mozilla.org/2010/06/beyond-html5-database-apis-and-the-road-to-indexeddb/) API IndexedDB.
Google устранил проблему в выпуске Chrome 79 (https://www.opennet.ru/opennews/art.shtml?num=52000). В кодовой базе SQLite проблема была исправлена (https://www.sqlite.org/src/info/51525f9c3235967b) 17 ноября, а в кодовой базе Chromium - 21 ноября (https://chromium.googlesource.com/chromium/src/third_party/sqlite/+/47bd97d715260127c995d92dde8dd8adb669b6b3). Проблема присутствует в коде (https://github.com/sqlite/sqlite/commit/c72f2fb7feff582444b8ffdc6c900c69847ce8a9) движка полнотекстового поиска FTS3 и через манипуляцию с теневыми таблицами (shadow tables, особый вид виртуальных таблиц с возможностью записи) может привести к повреждению индекса и переполнению буфера. Детальная информация о технике эксплуатации будет опубликована через 90 дней.
Новый релиз SQLite с исправлением пока не сформирован (https://www.sqlite.org/changes.html) (ожидается (https://www.sqlite.org/draft/releaselog/current.html) 31 декабря). В качестве обходного пути защиты начиная с SQLite 3.26.0 может использоваться режим SQLITE_DBCONFIG_DEFENSIVE, который запрещает запись в теневые таблицы и рекомендован для включения при обработке внешних SQL-запросов в SQLite. В дистрибутивах уязвимость в библиотеке SQLite пока остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-13734), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-13734.html), RHEL (https://access.redhat.com/security/cve/cve-2019-13734), openSUSE/SUSE (https://www.suse.com/security/cve/CVE-2019-13734/), Arch Linux (https://security.archlinux.org/package/sqlite), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F31&type=security), FreeBSD (http://www.vuxml.org/freebsd/). Chromium во всех дистрибутивах уже обновлён и не подвержен уязвимости, но проблема может охватывать различные сторонние браузеры и приложения, использующие движок Chromium, а также Android-приложения на базе Webview.
Дополнительно в SQLite также выявлены 4 менее опасные проблемы (CVE-2019-13750 (https://security-tracker.debian.org/tracker/CVE-2019-13750), CVE-2019-13751 (https://security-tracker.debian.org/tracker/CVE-2019-13751), CVE-2019-13752 (https://security-tracker.debian.org/tracker/CVE-2019-13752), CVE-2019-13753 (https://security-tracker.debian.org/tracker/CVE-2019-13753)), которые могут привести к утечке информации и обходу ограничений (могут использоваться как сопутствующие факторы для атаки на Chrome). Указанные проблемы устранены в коде SQLite 13 декабря. В совокупности проблемы позволили исследователям подготовить рабочий эксплоит, позволяющий выполнить код в контексте процесса Chromium, отвечающего за отрисовку.
24.12.2019
http://www.opennet.ru/opennews/art.shtml?num=52084
Атака на Chrome/Chromium осуществляется через API WebSQL, обработчик которого основывается на коде SQLite. Атака на другие приложения возможна только если они допускают передачу в SQLite SQL-конструкций, поступающих извне, например, используют SQLite в качестве формата для обмена данными. Firefox уязвимости не подвержен, так как компания Mozilla отказались (https://bugzilla.mozilla.org/show_bug.cgi?id=1247329) от реализации WebSQL в пользу (https://hacks.mozilla.org/2010/06/beyond-html5-database-apis-and-the-road-to-indexeddb/) API IndexedDB.
Google устранил проблему в выпуске Chrome 79 (https://www.opennet.ru/opennews/art.shtml?num=52000). В кодовой базе SQLite проблема была исправлена (https://www.sqlite.org/src/info/51525f9c3235967b) 17 ноября, а в кодовой базе Chromium - 21 ноября (https://chromium.googlesource.com/chromium/src/third_party/sqlite/+/47bd97d715260127c995d92dde8dd8adb669b6b3). Проблема присутствует в коде (https://github.com/sqlite/sqlite/commit/c72f2fb7feff582444b8ffdc6c900c69847ce8a9) движка полнотекстового поиска FTS3 и через манипуляцию с теневыми таблицами (shadow tables, особый вид виртуальных таблиц с возможностью записи) может привести к повреждению индекса и переполнению буфера. Детальная информация о технике эксплуатации будет опубликована через 90 дней.
Новый релиз SQLite с исправлением пока не сформирован (https://www.sqlite.org/changes.html) (ожидается (https://www.sqlite.org/draft/releaselog/current.html) 31 декабря). В качестве обходного пути защиты начиная с SQLite 3.26.0 может использоваться режим SQLITE_DBCONFIG_DEFENSIVE, который запрещает запись в теневые таблицы и рекомендован для включения при обработке внешних SQL-запросов в SQLite. В дистрибутивах уязвимость в библиотеке SQLite пока остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-13734), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-13734.html), RHEL (https://access.redhat.com/security/cve/cve-2019-13734), openSUSE/SUSE (https://www.suse.com/security/cve/CVE-2019-13734/), Arch Linux (https://security.archlinux.org/package/sqlite), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F31&type=security), FreeBSD (http://www.vuxml.org/freebsd/). Chromium во всех дистрибутивах уже обновлён и не подвержен уязвимости, но проблема может охватывать различные сторонние браузеры и приложения, использующие движок Chromium, а также Android-приложения на базе Webview.
Дополнительно в SQLite также выявлены 4 менее опасные проблемы (CVE-2019-13750 (https://security-tracker.debian.org/tracker/CVE-2019-13750), CVE-2019-13751 (https://security-tracker.debian.org/tracker/CVE-2019-13751), CVE-2019-13752 (https://security-tracker.debian.org/tracker/CVE-2019-13752), CVE-2019-13753 (https://security-tracker.debian.org/tracker/CVE-2019-13753)), которые могут привести к утечке информации и обходу ограничений (могут использоваться как сопутствующие факторы для атаки на Chrome). Указанные проблемы устранены в коде SQLite 13 декабря. В совокупности проблемы позволили исследователям подготовить рабочий эксплоит, позволяющий выполнить код в контексте процесса Chromium, отвечающего за отрисовку.
24.12.2019
http://www.opennet.ru/opennews/art.shtml?num=52084