Google や他のソフトウェア開発者は、脆弱性のあるシステムにマルウェアを注入するために悪用される可能性があることが判明した後、コードの SQLite コンポーネントにパッチを適用しました。
このセキュリティ上の欠陥は、テンセントのブレードチームの研究者によって発見され報告されたもので、Google のブラウザエンジンやその他のアプリで使用されている SQLite ライブラリに存在すると考えられています。
少なくともGoogleの場合、このライブラリはChromeのWebSQLデータベースAPIをサポートしているため、リモートコード実行の脆弱性として扱われています。幸いなことに、ユーザーはChromeの最新バージョン(安定版71.0.3578.80)にアップデートすることで、攻撃から身を守ることができます。
その他のアプリケーションについては、開発者はSQLite 3.26.0以降を使用するように製品を更新し、新しいビルドをユーザーに配布してインストールしてもらう必要があります。つまり、脆弱なSQLiteインスタンスを含むプログラムを使用している場合は、セキュリティアップデートが公開されるまでお待ちください。コードにSQLiteを組み込んでデータベースとして使用しているプログラマーは、アップデートを実施し、そのアップデートをユーザーに配布してください。
コードネームは常に存在する
テンセントが報告したこのバグは、マーケティング目的で「マゼラン」と呼ばれており、現時点ではCVEエントリが存在しません。本質的には、メモリを破壊して任意のコードを実行するものです。攻撃者がこれを実行するには、悪意のあるSQLコマンドを挿入し、メモリ破壊を引き起こして、挿入されたコードを実行させる必要があります。しかし、WebSQL APIの場合、ウェブページはブラウザ内に保存されたデータベースに対してSQLクエリを実行できます。
SQLite の開発者である D. Richard Hipp 氏が指摘したように、このメモリ処理のバグが悪用されるには、アプリケーションがユーザーから任意の SQL コマンドを受け入れるか、SQL インジェクションの脆弱性を抱えている必要があります。一般的に、プログラムはユーザーが独自の SQL コマンドを記述することを許可しておらず、そもそも SQL インジェクションの脆弱性が存在するべきではありません。
したがって、このバグは、悪意のあるユーザーがアプリケーション内で任意のSQLコマンドを実行できるという、すでに深刻な状況を悪化させ、任意の悪意のあるコード実行という事態を引き起こします。また、このバグはSQL UPDATEコマンドに関連していると認識されているため、SQLiteを読み取り専用モードで使用するか、その他の設定を有効にすることで、悪用を阻止できます。
SQLite の RCE 脆弱性に関する報告は、かなり誇張されています。一部の巧妙なグレーハット攻撃者は、悪意のある SQL を用いて RCE を実行する方法を発見しました。したがって、インターネット上の無作為なユーザーがシステム上で任意の SQL を実行できるようにしている場合は、アップグレードすることをお勧めします。それ以外の場合は、リスクはありません。
— D. リチャード・ヒップ (@DRichardHipp) 2018 年 12 月 15 日
Blade Teamは、より多くのベンダーがパッチを公開するまで、この脆弱性に関する詳細な情報の公開を意図的に控えていると述べています。この発見はチームメンバーのWenxiang Qian氏によるものです。非常に興味深いのは、SQLiteがセキュアコーディングのゴールドスタンダードとみなされていたことです。SQLiteは長年にわたり研究・監査されており、安全でバグも比較的少ないと考えられていました。
SQLite の作成者は、開発者に対して神を愛し、殺したり、姦淫したり、盗んだり、呪ったりしないようにと行動規範で警告された後、磔刑に処せられる...
続きを読む
「SQLiteはよく知られたデータベースとして、現代の主流のオペレーティングシステムやソフトウェアのすべてで広く使用されているため、この脆弱性は広範囲に影響を及ぼす」とテンセントの研究者らは今月初めの短い情報開示の中で述べている。
「テストの結果、Chromium もこの脆弱性の影響を受けることが判明し、Google はこの脆弱性を確認し、修正しました。」
分かっているのは、このバグは他のブラウザやスクリプトエンジンの脆弱性と同様に悪用される可能性があるということです。つまり、細工されたウェブページやメールを脆弱なアプリケーションで閲覧すると、密かに侵入したエクスプロイトコードや攻撃コードが起動され、攻撃者は被害者のマシン上でスパイウェアやランサムウェアを実行し、インストールすることが可能になります。
理論的には、この欠陥を悪用して、メモリに保存されているデータを取得したり、アプリケーションをクラッシュさせたりすることも可能だ。
こうしたバグは深刻な可能性を秘めていますが、決して珍しいものではありません。ちなみに、Microsoftは1週間も経たないうちに、IE、Edge、Officeにおけるリモートコード実行の脆弱性を16件修正しました。
Blade Teamは独自のテストで、このエクスプロイトを使ってGoogle Homeボックス(HomeはChromiumベース)を攻撃することに成功したと述べています。今のところ、このバグが実際に攻撃されたという報告はありません。®
