ทีมงานด้านความมั่นคงปลอดภัยของ Tencent ได้ค้นพบช่องโหว่บน SQLite ที่ทำให้ผู้โจมตีสามารถรันโค้ดได้ โดยตั้งชื่อช่องโหว่ว่า ‘Megellan’ ดังนั้นแนะนำให้ผู้ใช้งานติดตามการอัปเดตแพตช์ในผลิตภัณฑ์ที่ภายในมีการเรียกใช้ SQLite
SQL เป็นระบบจัดการฐานข้อมูลที่ได้รับความนิยมในซอฟต์แวร์จำนวนมาก เช่น IoT, macOS และแอปพลิเคชันบน Windows รวมไปถึงบราวน์เซอร์หลายรายอย่าง Chrome, Opera, Vivadi และ Brave ด้วย โดยวิธีการใช้ช่องโหว่ Megellan นั้นทางแฮ็กเกอร์ต้องหลอกให้เหยื่อเข้าชมเว็บไซต์ที่สร้างขึ้นมาแบบพิเศษเท่านั้น อย่างไรก็ตามทางนักวิจัยจาก Tencent เผยว่าทดสอบใช้ช่องโหว่ได้สำเร็จกับ Google Home แล้วแต่ยังไม่เปิดเผยเพราะมีซอฟต์แวร์ที่ได้รับผลกระทบจำนวนมากจึงให้เวลาทำแพตช์กันก่อน
ในส่วนของการป้องกันนั้น SQLite เองได้ปล่อยแพตช์อัปเดตแล้วในเวอร์ชัน 3.26.0 เช่นกันทาง Google ก็ได้แพตช์บน Chrome ในเวอร์ชัน 71.0.3578.80 ซึ่งจนถึงขณะนี้ยังไม่มีรายงานการใช้ช่องโหว่เพื่อการโจมตีแต่อย่างใด ดังนั้นจึงแนะนำให้ผู้ใช้งานรีบไปอัปเดตแพตช์ของซอฟต์แวร์ที่เกี่ยวข้องกันโดยเร่งด่วน
ที่มา : https://thehackernews.com/2018/12/sqlite-vulnerability.html และ https://www.securityweek.com/code-execution-flaw-sqlite-affects-chrome-other-software