Google Chrome: Neue Magellan 2.0-Schwachstellen

Publiziert am 26. Dezember 2019 von Günter Born

[English]Im Google Chrome (Chromium) Browser (und in anderer Software, die auf SQLite setzt) gab es einige Magellan 2.0 getaufte Schwachstellen in SQLite, die mit dem Update auf Chrome 79.0.3945.79 bzw. mit einem SQLite Code-Commit vom 13. Dezember 2019 geschlossen wurde.

Anzeige

Bei Magellan 2.0 handelt es sich um insgesamt fünf Schwachstellen, die in SQLite existieren (es gab bereits Magellan 1.0, die vor einiger Zeit gefunden wurden). Aufbauend auf den Erkenntnissen zu Magellan 1.0 haben Sicherheitsforscher vom Tencent Blade Team die neuen Schwachstellen, die eine Remote Code-Ausführung  im Chromium-Renderprozess ermöglichen gefunden. Die Sicherheitsforscher haben diesen Beitrag zum Thema veröffentlicht.

Schwachstelle in SQLite

SQLite wird als Datenbank in allen modernen Mainstream-Betriebssystemen und in diverser –Software breit eingesetzt. Eine Schwachstelle in SQLite hat daher einen großen Impact. Die Sicherheitsforscher von Tencent Blade haben gleich fünf Schwachstellen entdeckt:

  • CVE-2019-13734
  • CVE-2019-13750
  • CVE-2019-13751
  • CVE-2019-13752
  • CVE-2019-13753

Wenn eine Software SQLite als Komponente (ohne den neuesten Patch, der am 13. Dez. 2019 veröffentlicht wurde) verwendet, und externe SQL-Abfragen unterstützt werden, ist die Software angreifbar. Dann sind ein Remote Code Execution, ein Leck im Programmspeicher oder Programmabstürze möglich. Bisher haben die Sicherheitsforscher aber noch keinen öffentlichen Exploit gefunden, der diese Schwachstellen ausnutzt.

Wer Chrome vor 79.0.3945.79 mit aktiviertem WebSQL verwendet, ist möglicherweise ebenfalls betroffen. Andere Geräte wie PC/Mobilgeräte oder IoT-Geräte können ebenfalls betroffen sein, abhängig davon, ob es eine geeignete Angriffsfläche gibt.

Google Chrome 79.0.3945.79 fixt die Schwachstellen

Die Sicherheitsforscher von Tencent Blade haben Google alle Details der Schwachstellen gemeldet. Google hat die Schwachstellen behoben. Wer in einer Software Chromium verwendet, sollte dieses Programm auf die offizielle stabile Version 79.0.3945.79 ( Stable Channel Update for Desktop) aktualisieren.

SQLite habt diese Schwachstellen ebenfalls bestätigt und behoben. Falls ein Produkt SQLite verwendet, sollte dieses auf den neuesten SQLite Code-Commit aktualisiert werden.

Die Sicherheitsforscher veröffentlichen zu diesem Zeitpunkt keine Details über die Schwachstellen bekannt geben und drängen Anbieter, diese Schwachstelle so schnell wie möglich zu beheben. Weitere Details lassen sich in diesem Beitrag abrufen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Google Chrome: Neue Magellan 2.0-Schwachstellen

  1. JohnRipper sagt:
    27. Dezember 2019 um 11:42 Uhr

    Aktuell ist doch 79.0.3945.88

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.