Scoperta una falla in SQLite, eseguito codice nocivo collegandosi a una pagina web

I ricercatori della cinese Tencent hanno scoperto una grave vulnerabilità – cui è stato assegnato il nome di Magellan – nel noto motore database SQLite, utilizzato da centinaia di applicazioni oltre che dai moderni browser web.
Gli esperti hanno verificato che accedendo semplicemente a una pagina web potrebbe verificarsi l’esecuzione di codice dannoso sul sistema vulnerabile: i criminali informatici possono infatti sfruttare la Web SQL API per far sì che il codice exploit venga preso in carico e trasformato in una query SQL funzionante.

Dal momento che SQLite è integrato in centinaia di applicazioni di diversi produttori, la falla di sicurezza messa a nudo da Tencent impatta su un gran numero di software e configurazioni: dai sistemi desktop ai dispositivi IoT, dai browser web alle applicazioni Android e iOS. “Abbiamo utilizzato l’exploit anche per attaccare, a titolo dimostrativo, un dispositivo Google Home“, hanno dichiarato i responsabili di Tencent.

Le versioni di Google Chrome (release 71 e successive) e Chromium appena rilasciate contengono la patch che risolve il problema di sicurezza segnalato da Tencent. Anche Vivaldi e Brave sono al sicuro mentre Opera non è stato ancora adeguato.

Edge e Firefox non utilizzano la Web SQL API ma il browser di Mozilla è comunque esposto ad attacchi sferrati in ambito locale.

Il potenziale dell’attacco è importante perché nonostante il team di SQLite abbia rilasciato un aggiornamento di sicurezza, non è scontato che tutti gli sviluppatori adeguino tempestivamente i loro prodotti software.