隨著Internet成為人們當今服務的主要網關,Web瀏覽器經常成為黑客和安全研究人員試圖發現潛在漏洞的目標。騰訊的刀片安全團隊發現了一個這樣的漏洞,綽號為“麥哲倫”。雖然它會影響使用開源Chromium引擎的大量瀏覽器,包括Google Chrome本身,但這并不是Web瀏覽器有問題。取而代之的是,不僅Chromium使用SQLite數據庫,而且數百甚至數千個應用程序也使用SQLite數據庫。

SQL是一種關系數據庫,在大量應用程序中使用,從保存網站和博客中提供的數據到智能手機上移動應用程序存儲的數據片段。SQL有許多實現,包括像MySQL和PostgreSQL這樣的重量級人物,但是SQLite卻因為輕巧,簡單和易于使用而受到許多應用程序和開發人員的青睞。

不幸的是,這也意味著像麥哲倫這樣的漏洞也具有廣泛的覆蓋范圍。正是由于這種考慮,騰訊才沒有向公眾發布太多有關它的信息。簡而言之,該錯誤會使遠程訪問SQLite數據庫的黑客能夠執行潛在的惡意代碼,甚至使瀏覽器崩潰。它已經向SQLite和Google開發人員報告了該漏洞,他們已經在其末端及時修補了代碼。

由于該錯誤會影響基本的Chromium瀏覽器引擎,因此它會擴展到使用該瀏覽器的所有瀏覽器。好消息是,自版本71.0.3578.80起,Chromium已經安全。據報道,谷歌瀏覽器,維瓦爾第和勇敢者正在使用此最新版本,但未使用Opera。Safari根本不受影響,但如果黑客獲得了對它使用的本地SQLite數據庫的訪問權限,則Firefox可能會受到攻擊。

SQLite本身已從3.26版本開始修復,但其中存在另一個問題。應用開發人員和服務器管理員通常對更新關鍵軟件(例如數據庫)保持警惕,因為如果出現問題,可能會完全刪除數據。從Android 8.1 Oreo開始,Android還使用舊的3.19版本的SQLite。但是,根據麥哲倫的嚴重程度,他們可能對此事別無選擇。如果他們首先備份了備份,它們可能也有機會檢查備份是否已更新并且狀態良好。