In DBMS gedetecteerd SQLite CVE-2019-5018 die het mogelijk maakt het uitvoeren van code in het systeem of het mogelijk is om een SQL query uit te voeren, bereid door een aanvaller.
Problem arises from the SQLite 3.26 tak.
“SQLite implementeert het venster Functies eigenschap van SQL, die het mogelijk maakt queries op een subset, of “window,”Rijen. Deze specifieke kwetsbaarheid ligt in die functie “venster””, — writes Cisco Talos expert Cory Duplantis.
Specially designed SQL-request SELECT can case turn to the already freed memory’s region (gebruik-na-vrij) that can potentially be used for creation of exploit for code execution in the context of application that uses SQLite.
Vulnerability can be exploited in case if application allows transition of externally received SQL-constructions in SQLite.
Bijvoorbeeld, potential attack can be performed on Chrome and applications that use Chromium engine, as API WebSQL is realized above SQLite and turns to this DBMS for processing of SQL-requests from web-applications. For attack is enough to create web-page with malware JavaScript-code and make user open it in browser on the base of Chromiun engine.
The vulnerability is fixed in the SQLite 3.28 update without explicitly mentioning the correction of security problems.
