Investigadores de Cisco Talos encontraron vulnerabilidad en DBMS SQLite

En DBMS SQLite detectó la vulnerabilidad CVE-2019-5018, que permite la realización de código en el sistema si es posible ejecutar una consulta SQL, preparado por un atacante.

Problem arises from the SQLite 3.26 rama.

“SQLite implementa la función de funciones de la ventana de SQL, lo que permite consultas sobre un subconjunto, o “ventana,”De filas. Esta vulnerabilidad específica radica en que la función “ventana””, — writes Cisco Talos expert Cory Duplantis.

Specially designed SQL-request SELECT can case turn to the already freed memory’s region (use-after-free) that can potentially be used for creation of exploit for code execution in the context of application that uses SQLite.

Vulnerability can be exploited in case if application allows transition of externally received SQL-constructions in SQLite.

Por ejemplo, potential attack can be performed on Cromo and applications that use Chromium engine, as API WebSQL is realized above SQLite and turns to this DBMS for processing of SQL-requests from web-applications. For attack is enough to create web-page with malware JavaScript-code and make user open it in browser on the base of Chromiun engine.

The vulnerability is fixed in the SQLite 3.28 update without explicitly mentioning the correction of security problems.

SQLite is a client-sidedatabase management system contained in a C programming library.

Fuente: https://blog.talosintelligence.com

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Investigadores de Malwarebytes informaron sobre la búsqueda de varios skimmers MageCart web en la plataforma de nube Heroku …

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta