พบช่องโหว่บน SQLite กระทบ Chrome และซอฟต์แวร์จำนวนมากแนะผู้ใช้ควรอัปเดต

ทีมงานด้านความมั่นคงปลอดภัยของ Tencent ได้ค้นพบช่องโหว่บน SQLite ที่ทำให้ผู้โจมตีสามารถรันโค้ดได้ โดยตั้งชื่อช่องโหว่ว่า ‘Megellan’ ดังนั้นแนะนำให้ผู้ใช้งานติดตามการอัปเดตแพตช์ในผลิตภัณฑ์ที่ภายในมีการเรียกใช้ SQLite

Credit: ShutterStock.com

SQL เป็นระบบจัดการฐานข้อมูลที่ได้รับความนิยมในซอฟต์แวร์จำนวนมาก เช่น IoT, macOS และแอปพลิเคชันบน Windows รวมไปถึงบราวน์เซอร์หลายรายอย่าง Chrome, Opera, Vivadi และ Brave ด้วย โดยวิธีการใช้ช่องโหว่ Megellan นั้นทางแฮ็กเกอร์ต้องหลอกให้เหยื่อเข้าชมเว็บไซต์ที่สร้างขึ้นมาแบบพิเศษเท่านั้น อย่างไรก็ตามทางนักวิจัยจาก Tencent เผยว่าทดสอบใช้ช่องโหว่ได้สำเร็จกับ Google Home แล้วแต่ยังไม่เปิดเผยเพราะมีซอฟต์แวร์ที่ได้รับผลกระทบจำนวนมากจึงให้เวลาทำแพตช์กันก่อน

ในส่วนของการป้องกันนั้น SQLite เองได้ปล่อยแพตช์อัปเดตแล้วในเวอร์ชัน 3.26.0 เช่นกันทาง Google ก็ได้แพตช์บน Chrome ในเวอร์ชัน 71.0.3578.80 ซึ่งจนถึงขณะนี้ยังไม่มีรายงานการใช้ช่องโหว่เพื่อการโจมตีแต่อย่างใด ดังนั้นจึงแนะนำให้ผู้ใช้งานรีบไปอัปเดตแพตช์ของซอฟต์แวร์ที่เกี่ยวข้องกันโดยเร่งด่วน

ที่มา : https://thehackernews.com/2018/12/sqlite-vulnerability.html และ https://www.securityweek.com/code-execution-flaw-sqlite-affects-chrome-other-software


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

AWS แจกฟรี White Paper สำหรับการทำ Incident Response บนคลาวด์

AWS ได้ออก White Paper เพื่อแนะนำการทำ Incident Response ให้แก่องค์กรที่ใช้งานคลาวด์ โดยคาดหวังว่าผู้ใช้งาน AWS ทุกท่านจะได้เรียนรู้และเข้าใจถึงกระบวนการพื้นฐานของ Incident Response ในขณะที่เจ้าหน้าที่ด้านความมั่นคงปลอดภัยต้องเข้าใจลึกซึ้งถึงวิธีการตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัย

Rapid7 เพิ่มฟีเจอร์ตรวจสอบการตั้งค่า AWS ในโซลูชัน Insight VM

Rapid7 ได้ประกาศความสามารถใหม่ใน Insight VM (Vulnerability Management) ให้ผู้ใช้งานสามารถตรวจสอบการตั้งค่าการใช้งานของ AWS ว่ามีความเสี่ยงด้านความมั่นคงปลอดภัยหรือไม่