Una falla crítica de SQLite deja expuesta a millones de aplicaciones

Estándar

Un grupo de investigadores en temas de seguridad informática han descubierto una vulnerabilidad crítica en el software de base de datos SQLite ampliamente utilizado que expone millones de aplicaciones a ciberdelincuentes.

Apodado como ‘Magellan‘ por el equipo de seguridad Blade de Tencent, es una falla del software de base de datos SQLite recién descubierta que podría permitir a los atacantes remotos ejecutar código malintencionado o arbitrario en los dispositivos afectados, filtrar la memoria del programa o bloquear otras aplicaciones.

SQLite es un sistema de gestión de bases de datos relacionales basado en disco, liviano y ampliamente utilizado que requiere un soporte mínimo por parte del sistemas operativos o bibliotecas externas y por lo tanto, compatible con casi todos los dispositivos, plataformas y lenguajes de programación que existen actualmente.

SQLite es el motor de base de datos más implementado en el mundo hoy en día y lo utilizan millones de aplicaciones con literalmente miles de millones de implementaciones, incluido en dispositivos del IoT, macOS y aplicaciones de Windows, incluidos los principales navegadores web, como en el software de Adobe, Skype y muchos otros más.

Dado que los navegadores web basados en Chromium, incluidos Google Chrome, Opera, Vivaldi y Brave, también son compatibles con SQLite a través de la API de base de datos web SQL obsoleta, un atacante remoto puede atacar fácilmente a los usuarios de los navegadores afectados con solo convencerlos de que visiten un sitio web especialmente diseñado para distribuir el exploit.

SQLite ha lanzado la versión actualizada 3.26.0 de su software para abordar el problema después de recibir la divulgación responsable de los investigadores.

Google también ha lanzado la versión 71.0.3578.80 de Chromium para solucionar el problema y ha llevado la versión parcheada a la última versión de los navegadores web Google Chrome y Brave.

Los investigadores de Tencent dijeron que construyeron con éxito un exploit de prueba de concepto utilizando la vulnerabilidad Magellan y probaron con éxito su exploit contra Google Home.

Dado que la mayoría de las aplicaciones no se pueden parchear antes, los investigadores han decidido no revelar al público los detalles técnicos y el código de la prueba de concepto de la vulnerabilidad.

Dado que SQLite es utilizado por todos, incluidos Adobe, Apple, Dropbox, Firefox, Android, Chrome, Microsoft y muchos otros programas, la vulnerabilidad de Magellan es un problema muy grande entre las manos de las casas de software, incluso si todavía no se tiene noticia de que está siendo explotado en Internet.

Se recomienda a los usuarios y administradores que actualicen sus sistemas y las versiones de software afectadas a la última versión tan pronto como estén disponibles.