Datenbank: Fehler in SQLite ermöglichte Codeausführung

Anwendungen, die SQLite einsetzen und von außen SQL-Zugriff darauf bieten, sind offenbar von einem Fehler betroffen, der eine beliebige Codeausführung ermöglicht. Dazu gehören unter anderem Browser auf Chromium-Basis, für die inzwischen Updates bereitstehen.

Artikel veröffentlicht am ,
SQLite soll leicht sein wie ein Feder und nutzt die Feder deshalb als Logo.
SQLite soll leicht sein wie ein Feder und nutzt die Feder deshalb als Logo. (Bild: Jeremy Keith/CC-BY 2.0)

Die freie Datenbank SQLite ist unter anderem wegen ihrer vergleichsweise geringen Größe und der Möglichkeit, das Programm leicht in eine eigene Anwendung zu integrieren, sehr weit verbreitet. Die Sicherheitsabteilung des IT-Unternehmens Tencent weist nun auf einen Fehler in SQLite hin, der unter Umständen eine beliebige Codeausführung ermöglicht. Davon betroffen sein sollen unter vor allem Browser auf Chromium-Basis, wie Googles Chrome, Vivaldi, Opera oder andere, für die aber inzwischen Patches bereitstehen.

Stellenmarkt
  1. Product Owner (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
  2. Entwickler Elektronik und Kommunikationstechnik (IoT) (m/w/d)
    Gratz Engineering GmbH, Stuttgart
Detailsuche

Mit konkreten Details zu der Sicherheitslücke hält sich das Unternehmen zwar noch zurück, in Foren wie zum Beispiel Hackernews (Ycombinator) finden sich allerdings einige weiterführende Informationen. Demnach handelt es sich bei der Lücke selbst um einen Integer-Overflow in dem Code zum Umgang mit FTS3, wobei es sich um eine Erweiterung für virtuelle Tabellen handelt. Dieser Overflow kann von Angreifern letztlich weiter ausgenutzt werden, um Codeausführung zu erhalten.

Das Team von SQLite hat den Fehler bereits in Version 3.25.3 behoben und den Schutz hierfür in der aktuellen Version 3.26 nochmals verbessert. Betroffen von der Lücke sind darüber hinaus wohl nur jene Anwendungen, die Angreifern die Möglichkeit zum Ausführen beliebiger SQL-Aufrufe ermöglicht, statt SQLite lediglich intern zu verwenden. Wie erwähnt gehören dazu Browser auf Basis von Chromium, das mit WebSQL eine besonders einfache Möglichkeit dazu bietet. Das gilt laut Tencent wohl auch für IoT-Geräte mit integriertem Browser wie etwa Google Home.

Das Chromium-Team hat seinen Browser inzwischen aktualisiert und eine aktuelle Version von SQLite integriert. In der aktuellen Version 71 von Chrome beziehungsweise Chromium, die Anfang Dezember erschienen ist, ist der Fehler schon behoben. Für darauf aufbauende Browser sollten Updates ebenso bereits verfügbar sein oder demnächst folgen. So basiert die stabile Version von Opera etwa noch auf der Chromium-Version 70.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raumfahrt
Astra startet mit großen Ambitionen Billigraketen in Alaska

Mit 250.000 US-Dollar sollen die Raketen von Astra zum Preis eines Sportwagens hergestellt werden können. Wie will die Firma das schaffen?
Von Frank Wunderlich-Pfeiffer

Raumfahrt: Astra startet mit großen Ambitionen Billigraketen in Alaska
Artikel
  1. Nvidia und Colorful: Das Grafikkartenmuseum eröffnet seine Pforten
    Nvidia und Colorful
    Das Grafikkartenmuseum eröffnet seine Pforten

    Colorful und Nvidia eröffnen bald ein Grafikkarten-Museum. Zu sehen sind Seltenheiten wie die erste Dual-GPU von ATI und die Geforce 256.

  2. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

  3. Nvidia Geforce RTX 3070 Mobile: Statt teurer Grafikkarte einen Laptop kaufen?
    Nvidia Geforce RTX 3070 Mobile
    Statt teurer Grafikkarte einen Laptop kaufen?

    Wucherpreise bei Grafikkarten eröffnen ungewöhnliche Wege - etwa stattdessen ein Notebook zu kaufen. Das kostet weniger fps als erwartet.
    Ein Test von Oliver Nickel

Airblader 17. Dez 2018

Das ist letztlich auch nicht anders als localStorage oder IndexedDB. Es ist eine...

TC 17. Dez 2018

Da gibts wohl für die meisten kein Update

bionade24 17. Dez 2018

kwT


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /