พบช่องโหว่อายุกว่า 22 ปี บน SQLite Database Library

พบช่องโหว่อายุกว่า 22 ปี บน SQLite Database Library ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งเป็นผลมาจากส่วนหนึ่งของการเปลี่ยนแปลงโค้ดย้อนหลังไปตั้งเดือนตุลาคม 2000 ซึ่งอาจทำให้ผู้โจมตีสามารถหยุดการทำงาน หรือควบคุมโปรแกรมได้หากใช้ประโยชน์จากช่องโหว่สำเร็จ

รายละเอียดของช่องโหว่

ช่องโหว่มีหมายเลข CVE-2022-35737 มี CVSS: 7.5 ซึ่งมีระดับความรุนแรงสูง และมีผลกระทบกับ SQLite version 1.0.12 ถึง 3.39.1
ช่องโหว่เกิดจากการส่ง Input String ที่มีขนาดใหญ่ไปยังฟังก์ชั่น Printf ของ SQLite ที่ประกอบไปด้วย %Q, %q หรือ %w จะทำให้ช่องโหว่ไปเชื่อมโยงกับฟังก์ชั่นชื่อ “sqlite3_str_vappendf” ที่เรียกโดย Printf ในการจัดการรูปแบบ String
และเมื่อ “sqlite3_str_vappendf” ได้รับ String ขนาดใหญ่ และจะทำให้เกิด Signed integer overflow ซึ่งจะทำให้โปรแกรมหยุดทำงาน
และนอกจากวิธีการดังกล่าว นักวิจัยยังพบว่าหากมีการใช้ “!” ซึ่งเป็นอักขระพิเศษอาจทำให้สามารถเปิดใช้งาน unicode scanning และจากนั้นเป็นไปได้ที่จะทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดได้ตามที่ต้องการ และอาจทำให้เกิดเงื่อนไข DoS เกิดขึ้นได้

ระบบที่ได้รับผลกระทบ

Android
iOS
Windows
macOS
Google Chrome
Mozilla Firefox
Apple Safari

แนวทางการป้องกัน

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเวอร์ชั่น 3.39.2 (July 21, 2022) หากองค์กรมีการใช้งาน SQLite แนะนำให้องค์กรรีบดำเนินการอัปเดตเป็นเวอร์ชั่นดังกล่าวโดยเร็วที่สุด

Ref: https://thehackernews.

Critical SQLite Flaw Leaves Millions of Apps Vulnerable to Hackers

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบช่องโหว่ที่สำคัญในฐานข้อมูลของซอฟแวร์เอสคิวแอลไลท์ (SQLite) บน Android ที่ใช้กันแพร่หลาย ซึ่งทำให้แฮกเกอร์เข้าถึงข้อมูลได้

ช่องโหว่นี้ถูกขนานนามว่า "Magellan" โดยทีมผู้เชี่ยวชาญด้านการความรักษาปลอดภัยทางไซเบอร์จาก Tencent's Blade ข้อบกพร่อง SQLite นี้อาจทำให้แฮกเกอร์สามารถโจมตีจากระยะไกลเพื่อรันโค้ดอันตรายบนอุปกรณ์ที่ตกเป็นเป้าหมาย ซึ่งทำให้เกิดการรั่วไหลของหน่วยความจำของโปรแกรมหรือการใช้งานที่ผิดพลาด

นักวิจัยของ Tencent กล่าวว่าพวกเขาประสบความสำเร็จในการทดสอบการใช้โปรแกรมทดสอบการหาช่องโหว่แม็กเจลแลน (Magellan vulnerability) ประสบความสำเร็จในการทดสอบการหาช่องโหว่จาก Google Home

SQLite เป็นโปรแกรมฐานข้อมูลที่ใช้งานกันอย่างแพร่หลายมากที่สุดในโลกซึ่งปัจจุบันมีการใช้งานนับล้าน โดยมีการใช้งานหลายพันล้านเครื่องรวมถึงอุปกรณ์ IoT, MacOS และ Windows apps รวมทั้งเว็บเบราว์เซอร์ที่สำคัญ เช่น Adobe Software Skype และอื่น ๆ

SQLite ได้เผยแพร่การอัปเดตซอฟต์แวร์เวอร์ชัน 3.26.0 sqlite.