พบช่องโหว่บน SQLite กระทบ Chrome และซอฟต์แวร์จำนวนมากแนะผู้ใช้ควรอัปเดต

ทีมงานด้านความมั่นคงปลอดภัยของ Tencent ได้ค้นพบช่องโหว่บน SQLite ที่ทำให้ผู้โจมตีสามารถรันโค้ดได้ โดยตั้งชื่อช่องโหว่ว่า ‘Megellan’ ดังนั้นแนะนำให้ผู้ใช้งานติดตามการอัปเดตแพตช์ในผลิตภัณฑ์ที่ภายในมีการเรียกใช้ SQLite

Credit: ShutterStock.com

SQL เป็นระบบจัดการฐานข้อมูลที่ได้รับความนิยมในซอฟต์แวร์จำนวนมาก เช่น IoT, macOS และแอปพลิเคชันบน Windows รวมไปถึงบราวน์เซอร์หลายรายอย่าง Chrome, Opera, Vivadi และ Brave ด้วย โดยวิธีการใช้ช่องโหว่ Megellan นั้นทางแฮ็กเกอร์ต้องหลอกให้เหยื่อเข้าชมเว็บไซต์ที่สร้างขึ้นมาแบบพิเศษเท่านั้น อย่างไรก็ตามทางนักวิจัยจาก Tencent เผยว่าทดสอบใช้ช่องโหว่ได้สำเร็จกับ Google Home แล้วแต่ยังไม่เปิดเผยเพราะมีซอฟต์แวร์ที่ได้รับผลกระทบจำนวนมากจึงให้เวลาทำแพตช์กันก่อน

ในส่วนของการป้องกันนั้น SQLite เองได้ปล่อยแพตช์อัปเดตแล้วในเวอร์ชัน 3.26.0 เช่นกันทาง Google ก็ได้แพตช์บน Chrome ในเวอร์ชัน 71.0.3578.80 ซึ่งจนถึงขณะนี้ยังไม่มีรายงานการใช้ช่องโหว่เพื่อการโจมตีแต่อย่างใด ดังนั้นจึงแนะนำให้ผู้ใช้งานรีบไปอัปเดตแพตช์ของซอฟต์แวร์ที่เกี่ยวข้องกันโดยเร่งด่วน

ที่มา : https://thehackernews.com/2018/12/sqlite-vulnerability.html และ https://www.securityweek.com/code-execution-flaw-sqlite-affects-chrome-other-software

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

จาก Penetration Testing สู่ Bug Bounty: ทำไมการทดสอบแบบเดิมอาจไม่เพียงพอสำหรับองค์กรในยุคนี้ [PR]

ในยุคที่บริษัทส่วนใหญ่พัฒนาแอปพลิเคชันและระบบดิจิทัลอย่างต่อเนื่อง การรักษาความปลอดภัยกลายเป็นสิ่งสำคัญที่องค์กรไม่สามารถละเลยได้ แอปพลิเคชันและระบบที่ซับซ้อนขึ้นในปัจจุบัน ไม่เพียงตอบสนองความต้องการของผู้ใช้งาน แต่ยังต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่อง

Mitiga ระดมทุน 30 ล้านดอลลาร์ ขยายแพลตฟอร์ม AI รับภัยคุกคามบนคลาวด์

บริษัท Mitiga Security ผู้เชี่ยวชาญด้านการตอบสนองภัยคุกคามในระบบคลาวด์ ประกาศว่าระดมทุนใหม่ได้จำนวน 30 ล้านดอลลาร์ ในรอบที่นำโดย SYN Ventures เพื่อสนับสนุนการเติบโต ยกระดับแพลตฟอร์มที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ และสร้างพันธมิตรเชิงกลยุทธ์