• IT-Karriere:
  • Services:

Datenbank: Fehler in SQLite ermöglichte Codeausführung

Anwendungen, die SQLite einsetzen und von außen SQL-Zugriff darauf bieten, sind offenbar von einem Fehler betroffen, der eine beliebige Codeausführung ermöglicht. Dazu gehören unter anderem Browser auf Chromium-Basis, für die inzwischen Updates bereitstehen.

Artikel veröffentlicht am ,
SQLite soll leicht sein wie ein Feder und nutzt die Feder deshalb als Logo.
SQLite soll leicht sein wie ein Feder und nutzt die Feder deshalb als Logo. (Bild: Jeremy Keith/CC-BY 2.0)

Die freie Datenbank SQLite ist unter anderem wegen ihrer vergleichsweise geringen Größe und der Möglichkeit, das Programm leicht in eine eigene Anwendung zu integrieren, sehr weit verbreitet. Die Sicherheitsabteilung des IT-Unternehmens Tencent weist nun auf einen Fehler in SQLite hin, der unter Umständen eine beliebige Codeausführung ermöglicht. Davon betroffen sein sollen unter vor allem Browser auf Chromium-Basis, wie Googles Chrome, Vivaldi, Opera oder andere, für die aber inzwischen Patches bereitstehen.

Stellenmarkt
  1. Tapetenfabrik Gebr. Rasch GmbH & Co. KG, Bramsche
  2. DMK E-BUSINESS GmbH, Potsdam, Chemnitz

Mit konkreten Details zu der Sicherheitslücke hält sich das Unternehmen zwar noch zurück, in Foren wie zum Beispiel Hackernews (Ycombinator) finden sich allerdings einige weiterführende Informationen. Demnach handelt es sich bei der Lücke selbst um einen Integer-Overflow in dem Code zum Umgang mit FTS3, wobei es sich um eine Erweiterung für virtuelle Tabellen handelt. Dieser Overflow kann von Angreifern letztlich weiter ausgenutzt werden, um Codeausführung zu erhalten.

Das Team von SQLite hat den Fehler bereits in Version 3.25.3 behoben und den Schutz hierfür in der aktuellen Version 3.26 nochmals verbessert. Betroffen von der Lücke sind darüber hinaus wohl nur jene Anwendungen, die Angreifern die Möglichkeit zum Ausführen beliebiger SQL-Aufrufe ermöglicht, statt SQLite lediglich intern zu verwenden. Wie erwähnt gehören dazu Browser auf Basis von Chromium, das mit WebSQL eine besonders einfache Möglichkeit dazu bietet. Das gilt laut Tencent wohl auch für IoT-Geräte mit integriertem Browser wie etwa Google Home.

Das Chromium-Team hat seinen Browser inzwischen aktualisiert und eine aktuelle Version von SQLite integriert. In der aktuellen Version 71 von Chrome beziehungsweise Chromium, die Anfang Dezember erschienen ist, ist der Fehler schon behoben. Für darauf aufbauende Browser sollten Updates ebenso bereits verfügbar sein oder demnächst folgen. So basiert die stabile Version von Opera etwa noch auf der Chromium-Version 70.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 279€ (Bestpreis!)
  2. 38,05€ (Bestpreis!)
  3. 17€ (Bestpreis!)
  4. 19€ (Bestpreis!)

Airblader 17. Dez 2018

Das ist letztlich auch nicht anders als localStorage oder IndexedDB. Es ist eine...

TC 17. Dez 2018

Da gibts wohl für die meisten kein Update

bionade24 17. Dez 2018

kwT


Folgen Sie uns
       


Preiswerte Notebooks im Test - Acer vs. Medion vs. Trekstor

Golem.de hat preiswerte Geräte von drei Herstellern getestet. Es treten an: Acer, Medion und Trekstor. Die Bedingung: Der Kaufpreis soll unter 400 Euro liegen.

Preiswerte Notebooks im Test - Acer vs. Medion vs. Trekstor Video aufrufen
The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
    Xbox, Playstation, Nvidia Ampere
    Wo bleiben die HDMI-2.1-Monitore?

    Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
    Eine Analyse von Oliver Nickel


      Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
      Energiewende
      Wie die Begrünung der Stahlindustrie scheiterte

      Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
      Eine Recherche von Hanno Böck

      1. Wetter Warum die Klimakrise so deprimierend ist

        •  /