Des chercheurs découvrent une vulnérabilité d'exécution de code à distance dans SQLite
Affectant les navigateurs basés sur Chromium

Le , par Stéphane le calme

221PARTAGES

14  0 
Le 14 décembre, des chercheurs de l’équipe Blade de Tencent ont publié un avis concernant leur découverte de «Magellan», une vulnérabilité d’exécution de code à distance dans SQLite affectant les navigateurs basés sur Google Chromium, ainsi que le haut-parleur intelligent Google Home.

Dans un billet de blog, ils ont expliqué que

Citation Envoyé par Equipe Blade
Magellan est une vulnérabilité d'exécution de code à distance découverte par Tencent Blade Team qui existe dans SQLite. En tant que base de données bien connue, SQLite est largement utilisé dans tous les systèmes d’exploitation et les logiciels traditionnels, de sorte que cette vulnérabilité a un large éventail d’influences. Après avoir testé cette vulnérabilité, Google a confirmé et corrigé cette vulnérabilité. Nous ne divulguerons aucun détail sur cette vulnérabilité pour le moment, et nous incitons les autres fournisseurs à résoudre le problème dans les meilleurs délais.
Comme vous pouvez donc le comprendre, les détails sur cette faille ne sont pas encore connus publiquement par mesure de sécurité, mais ils ont été communiqués aux différents fournisseurs pour leur permettre de la corriger aussi vite que possible.


Cependant, l’équipe Blade spécifie que l’impact de cette vulnérabilité inclut l’exécution de code, une fuite de mémoire ou un déni de service. De plus, Chromium, la base de code open source de Google qui alimente Google Chrome, est affectée par cette vulnérabilité. Il existe plusieurs autres implémentations de navigateur qui utilisent la base de code Chromium, notamment Brave, Opera, Vivaldi et Yandex.

Selon l'équipe Blade, ils ont pu utiliser la vulnérabilité Magellan pour exploiter l'enceinte intelligente Google Home, mais ont déclaré qu'ils n'envisageaient pas de publier de code de preuve de concept (PoC) pour Magellan. Toutefois, plusieurs heures après la publication de l’avis de l’équipe de lames, un développeur d’applications a publié un PoC qui fait planter Chrome 70. Il a expliqué que le PoC dont il s'est servi est basé sur un scénario de test SQLite dans un commit où le bogue a été corrigé.

Dans une foire à questions,l'équipe Blade a donné quelques indications :

Suis-je affecté par la vulnérabilité ?
Si vous utilisez un périphérique ou un logiciel utilisant SQLite ou Chromium, il en sera affecté.

Quel est le danger de cette vulnérabilité ?
Exécution de code à distance, fuite de mémoire programme ou plantage du programme.

Cette vulnérabilité a-t-elle un code d'exploitation ?
Oui, nous avons réussi à exploiter Google Home avec cette vulnérabilité et nous ne prévoyons pas divulguer de code d'exploitation.

Quelles sont les conditions pour exploiter cette vulnérabilité ?
Cette vulnérabilité peut être déclenchée à distance, par exemple en accédant à une page Web particulière dans un navigateur.

« Magellan » a-t-il été exploité ?
Nous n'avons pas encore vu de tels cas.

Existe-t-il une solution de contournement ?
Nous avons rapporté tous les détails de la vulnérabilité à Google et ils ont corrigé la vulnérabilité. Si votre produit utilise Chromium, mettez à jour la version stable officielle 71.0.3578.80 (Release updates). Si votre produit utilise SQLite, veuillez mettre à jour à la version 3.26.0.

Actions requises d'urgence

Il est vivement conseillé aux organisations et aux particuliers de mettre à niveau leurs applications vulnérables vers des versions corrigées dès que possible.

SQLite a publié la version 3.26.0 le 1er décembre 2018, tandis que Google a publié Chromium 71.0.3578.80 le 4 décembre 2018. La version 71 de Google Chrome contient les correctifs fournis dans Chrome 71.0.3578.80. De plus, des distributions Linux telles que Red Hat Enterprise Linux, Debian et openSUSE ont publié des avis de sécurité incluant le correctif Chromium.

Faire le test du développeur
Commit Chromium où le bogue a été corrigé

Source : blog Tencent Blade

Voir aussi :

OpenJDK : un rapport de bogue souligne la présence d'expressions grossières au sein du code source de l'implémentation open source de Java SE
Des sites malveillants se servent d'un bogue vieux de 11 ans sur Firefox, qui a déjà été corrigé sur Chrome et le navigateur de Microsoft
Google décide d'accélérer la fermeture de Google+ après la découverte d'un nouveau bogue, qui affecte les informations de 52 millions d'utilisateurs
Kubernetes touché par une faille critique pouvant provoquer une escalade de privilège, des correctifs sont disponibles pour le système d'orchestration
PortSmash : une nouvelle faille critique qui affecte les CPU Intel exploitant l'Hyperthreading ou le SMT, des CPU AMD pourraient aussi être touchés

Une erreur dans cette actualité ? Signalez-le nous !


 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web