Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Grave vulnerabilità in SQLite mette a rischio milioni di applicazioni

denial-of-service  Magellan  remote code execution  SQLite   lunedì, 17 dicembre 2018

SQLite è un DBMS SQL di pubblico dominio, implementato sotto forma di libreria scritta in linguaggio C incorporabile all’interno di applicazioni. Grazie alle sue caratteristiche di compattezza, velocità, affidabilità e alla facilità d’uso, SQLite è il gestore di database più diffuso al mondo.

I ricercatori di sicurezza del Tencent Team Blade hanno recentemente scoperto una vulnerabilità di gravità elevata in SQLite, battezzata Magellan, che potrebbe consentire ad un attaccante di eseguire codice arbitrario sui dispositivi affetti, accedere alla memoria delle applicazioni o causarne il crash, con conseguente condizione di denial of service (DoS). La vulnerabilità può essere sfruttata facilmente da remoto, ad esempio mediante una pagina Web appositamente predisposta.

Anche se gli scopritori non hanno reso noti i dettagli della vulnerabilità ed il corrispondente exploit, questa vulnerabilità ha un impatto potenzialmente enorme.

La libreria si trova infatti installata in tutti i maggiori sistemi operativi, inclusi Windows, macOS, iOS e Android, e in milioni di applicazioni software, tra le quali molte di larga diffusione, come Firefox, Chrome, Safari, Thunderbird, Skype e Dropbox, oltre a svariati prodotti Microsoft e Adobe. SQLite è altresì intergrato in PHP e Python ed è ampiamente utilizzato in sistemi embedded per dispositivi IoT.

Gli scopritori hanno informato tempestivamente gli sviluppatori di SQLite e Google della presenza di questa falla. La vulnerabilità è stata corretta in SQLite versione 3.26.0 e in Chrome 71.0.3578.80, rilasciato lo scorso 4 dicembre. Fortunatamente non si hanno notizie che la falla sia stata sfruttata in attacchi reali.

Si raccomanda agli utenti di sistemi ed applicazioni potenzialmente affetti da questa vulnerabilità di tenerli costantemente aggiornati installando le patch di sicurezza non appena queste vengono messe a disposizione dai rispettivi produttori.

Notizie correlate

Risolta vulnerabilità critica in WordPress 5.1.1

14 marzo 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica del noto CMS WordPress, presente nelle versioni fino alla 5.1.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe Digital Editions e Photoshop CC

13 marzo 2019

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Digital Editions e per Adobe Photoshop CC che risolvono due vulnerabilità critiche che potrebbero consentire l'esecuzione di codice arbitrario nel contesto dell'utente corrente.Leggi tutto

Vulnerabilità critiche in switch Ethernet industriali Moxa

12 marzo 2019

Sono state scoperte diverse vulnerabilità critiche in switch Ethernet industriali delle famiglie IKS e EDS prodotti da Moxa.Leggi tutto