O bug “Magellan” do SQLite afeta navegadores baseados no Chrome, milhares de aplicativos
Com a Internet sendo a principal porta de entrada para os serviços de hoje, os navegadores da web têm sido alvo de hackers e pesquisadores de segurança que tentam descobrir possíveis vulnerabilidades. Uma dessas vulnerabilidades foi descoberta pela equipe de segurança Blade da Tencent e apelidada de "Magellan". Embora isso afete uma grande quantidade de navegadores que usam o mecanismo do Chromium de código aberto, incluindo o próprio Google Chrome, desta vez não é o navegador da Web que é o culpado. Em vez disso, é o banco de dados SQLite usado não apenas pelo Chromium, mas também por centenas, se não milhares, de aplicativos.
SQL um tipo de banco de dados relacional que é usado em um grande número de aplicativos, desde armazenar dados veiculados em sites e blogs até os dados armazenados por aplicativos móveis em seu smartphone. Existem muitas implementações de SQL, incluindo pesos-pesados como MySQL e PostgreSQL, mas o SQLite tem sido preferido por muitos aplicativos e desenvolvedores precisamente porque é leve, simples e fácil de usar.
Infelizmente, isso também significa que uma façanha como Magalhães também tem cobertura de longo alcance. É justamente por essa consideração que a Tencent não divulgou muita informação ao público sobre isso. Em suma, o bug permitiria que hackers com acesso remoto a um banco de dados SQLite executassem códigos potencialmente mal-intencionados, até mesmo travando o navegador. Ele já relatou a vulnerabilidade do SQLite e dos desenvolvedores do Google que prontamente fizeram o patch do código em suas finalidades.
Como o bug afeta o mecanismo básico do navegador Chromium, ele se estende a qualquer navegador que o use. A boa notícia é que, a partir da versão 71.0.3578.80, o Chromium já é seguro. O Google Chrome, Vivaldi e Brave estão usando esta última versão, mas não o Opera. O Safari não é afetado, mas o Firefox pode ficar vulnerável se um hacker conseguir acesso ao banco de dados SQLite local que ele usa.
O próprio SQLite foi corrigido a partir da versão 3.26, mas é outro problema. Os desenvolvedores de aplicativos e administradores de servidores geralmente são cautelosos ao atualizar softwares críticos, como bancos de dados, devido ao risco de manipular dados completamente se algo der errado. A partir do Android 8.1 Oreo, o Android também usa uma versão 3.19 mais antiga do SQLite. Dependendo da gravidade do Magellan, no entanto, eles podem ter pouca escolha sobre o assunto. Também pode ser uma oportunidade para eles verificarem se seus backups estão atualizados e se estão em boas condições se tiverem um em primeiro lugar.
Via: Slash Gear
Nenhum comentário