In DBMS detektiert SQLite CVE-2019-5018, den Code in dem System ermöglicht die Durchführung, wenn es möglich ist, eine SQL-Abfrage auszuführen, durch einen Angreifer vorbereitet.
Problem ergibt sich aus dem SQLite 3.26 Ast.
“SQLite implementiert die Window-Funktionen Funktion von SQL, die Abfragen über eine Teilmenge erlaubt, oder „Fenster,“Reihen. Diese spezifische Verwundbarkeit liegt in diesem „Fenster“ -Funktion”, - schreibt Cisco Talos-Experte Cory Duplantis.
Speziell entwickeltes SQL-Request-SELECT kann sich in den Bereich des bereits freigegebenen Speichers wenden (gebrauchsfrei) Dies kann möglicherweise zum Erstellen eines Exploits für die Codeausführung im Kontext einer Anwendung verwendet werden, die SQLite verwendet.
Die Sicherheitsanfälligkeit kann ausgenutzt werden, wenn die Anwendung den Übergang von extern empfangenen SQL-Konstruktionen in SQLite ermöglicht.
Zum Beispiel, Ein möglicher Angriff kann ausgeführt werden Chrom und Anwendungen, die verwenden Chrommotor, Als API wird WebSQL über SQLite realisiert und wendet sich an dieses DBMS zur Verarbeitung von SQL-Anforderungen von Webanwendungen. Für Angriffe reicht es aus, eine Webseite mit Malware-JavaScript-Code zu erstellen und den Benutzer dazu zu bringen, sie im Browser auf der Basis der Chromiun-Engine zu öffnen.
Die Sicherheitslücke ist in der behoben SQLite 3.28 Update ohne explizite Erwähnung der Korrektur von Sicherheitsproblemen.
