Investigadores de Blade de Tencent descubrieron una vulnerabilidad crítica en SQLite, denominada Magellan, que permitiría a un atacante remoto ejecutar código arbitrario en los dispositivos afectados, acceder a la memoria de un programa o bloquear aplicaciones.
SQLite es un sistema de gestión de bases de datos utilizado masivamente, compatible con casi todos los dispositivos, plataformas y lenguajes de programación. Lo usan millones de aplicaciones en dispositivos IoT, macOS y apps de Windows, incluidos los principales navegadores web, Adobe, Skype Apple, Dropbox, Android y Microsoft, entre muchos otros.
Los navegadores basados en Chromium (Google Chrome, Firefox, Opera, Vivaldi y Brave) también son compatibles con SQLite, por lo que un atacante podría convencer a un usuario de un navegador afectado, a visitar un sitio web malicioso.
Tanto SQLite como Chromium lanzaron actualizaciones de sus softwares para corregir esta vulnerabilidad, pero aún faltan muchos parches para diversas apps. Es por eso que los investigadores no dieron detalles de la Prueba de Concepto (PoC), donde lograron construir con éxito un exploit contra Google Home.
Se recomienda a los usuarios y administradores que actualicen sus sistemas a la versión 3.26.0 de SQLite y a la 71.0.3578.80, de Chromium. Y por supuesto, parchar sus otros sistemas y apps, en cuanto estén los parches disponibles.
| Producto | Versión |
|---|---|
| SQLite |
3.25.3 y anteriores. |