新時代高科技不計其數越來越發達，小伙伴們看過不少科技新聞吧，在我們生活中應該也用到很多這些高科技東西，有哪些小伙伴值的關注的呢，今天就跟大家分享一篇有關科技方面知識，希望大家會喜歡。

一組新的SQLite漏洞允許攻擊者在全球最流行的瀏覽器谷歌Chrome中遠程運行惡意代碼。

這五個漏洞被命名為“麥哲倫2.0”，今天由騰訊刀片安全團隊披露。

所有使用SQLite數據庫的應用程序都容易受到Magellan 2.0的攻擊;然而，“遠程利用”的危險比Chrome要小，Chrome的WebSQL API功能在默認情況下會讓Chrome用戶受到遠程攻擊。

就在麥哲倫2.0發布的一年前，也就是2018年12月，騰訊刀片服務器安全團隊發布了麥哲倫原始的SQLite漏洞。

就像最初的Magellan漏洞一樣，這些新的變化是由于SQLite數據庫從第三方接收的SQL命令中的輸入驗證錯誤造成的。

攻擊者可以編寫包含惡意代碼的SQL操作。當SQLite數據庫引擎讀取這個SQLite操作時，它可以代表攻擊者執行命令。

在今天發布的一份安全報告中，騰訊刀片團隊表示，麥哲倫2.0的漏洞可能導致“遠程代碼執行、程序內存泄漏或導致程序崩潰”。

所有使用SQLite數據庫存儲數據的應用程序都是易受攻擊的，盡管“互聯網遠程攻擊”的載體在默認情況下是不可利用的。要想被利用，應用程序必須允許直接輸入原始SQL命令，這是很少有應用程序允許的。

對于谷歌Chrome的用戶來說，遠程攻擊的危險是存在的，該瀏覽器還使用一個內部SQLite數據庫來存儲各種瀏覽器設置和用戶數據。

這是因為谷歌Chrome附帶了WebSQL，這是一個將JavaScript代碼轉換成SQL命令的API，然后在Chrome的SQLite數據庫上執行。WebSQL在Chrome中是默認啟用的，在Opera中也是如此。

惡意網站可以使用麥哲倫2.0漏洞來運行惡意代碼攻擊其Chrome訪問者。然而，騰訊團隊表示，用戶沒有理由擔心，因為他們已經通知了谷歌和SQLite團隊這些問題。

騰訊表示，兩周前發布的谷歌Chrome 79.0.3945.79修復了麥哲倫2.0的五個漏洞。

SQLite項目也在2019年12月13日修復了一系列補丁中的錯誤;但是，這些修復并沒有包含在一個穩定的SQLite分支中——仍然是12月10日發布的v3.30.1。

不必擔心:SQLite和谷歌已經確認并修復了它，我們也正在幫助其他供應商解決這個問題。我們還沒有發現任何濫用麥哲倫2.0的證據，現在也不會透露任何細節。如果您有任何技術問題，請隨時與我們聯系!https://t.co/3hUro9URWf

騰訊表示，它不知道有任何針對麥哲倫2.0漏洞的公開攻擊代碼或攻擊。這家中國公司表示，它計劃在未來幾個月公布有關這兩個漏洞的更多細節，而今天公布的只是他們發現的一個摘要，目的是提醒應用程序開發人員，并推動他們更新附帶應用程序的SQLite版本。

然而，一些人可能不同意這家中國公司的決定。去年，當騰訊Blade公布了麥哲倫原始漏洞的細節時，該公司遭到了SQLite的創建者d理查德希普(D. Richard Hipp)的嚴厲批評。

當時，Hipp說這家中國公司夸大了原始漏洞的影響，因為Magellan攻擊矢量不會導致絕大多數依賴SQLite的應用程序的遠程代碼執行(RCE)。

關于SQLite中的RCE漏洞的報告被大大夸大了。一些聰明的“灰帽子”發現了一種使用惡意編寫的SQL來獲得RCE的方法。因此，如果您允許隨機的internet用戶在您的系統上運行任意的SQL，那么您應該進行升級。否則，你就沒有風險。

希普是對的，他2018年的觀測結果對2019年的麥哲倫2.0仍然有效。大多數使用SQLite數據庫的應用程序不會受到“遠程”Magellan 2.0攻擊的影響。

盡管如此，遠程代碼執行(RCE)場景在Chrome中是可能的，這主要是由于WebSQL API的存在。