一组新的SQLite漏洞允许攻击者在全球最受欢迎的浏览器Google Chrome中远程运行恶意代码。

这五个漏洞被命名为“麦哲伦2.0”，这是腾讯刀片安全团队今天披露的。

所有使用SQLite数据库的应用程序都容易受到麦哲伦2.0攻击。但是“远程利用”的危险性比Chrome小，Chrome的WebSQL API功能默认会让Chrome用户暴露在远程攻击下。

就在麦哲伦2.0发布的前一年，也就是2018年12月，腾讯的刀片服务器安全团队发布了麦哲伦原来的SQLite漏洞。

像最初的麦哲伦漏洞一样，这些新的更改是由SQLite数据库从第三方接收的SQL命令中的输入验证错误引起的。

攻击者可以编写包含恶意代码的SQL操作。当SQLite数据库引擎读取这个SQLite操作时，它可以代表攻击者执行命令。

在今天发布的安全报告中，腾讯Blade Team表示，麦哲伦2.0的漏洞可能导致“远程代码执行、程序内存泄漏或程序崩溃”。

所有使用SQLite数据库存储数据的应用程序都容易受到攻击，尽管默认情况下“互联网远程攻击”的载体不可用。要使用，应用程序必须允许直接输入原始的SQL命令，这是应用程序很少允许的。

对于谷歌Chrome用户来说，存在远程攻击的危险。浏览器还使用内部SQLite数据库来存储各种浏览器设置和用户数据。

这是因为谷歌Chrome自带WebSQL，这是一个将JavaScript代码转换成SQL命令，然后在Chrome的SQLite数据库上执行的API。默认情况下，在Chrome和Opera中都启用了WebSQL。

恶意网站可以利用麦哲伦2.0漏洞运行恶意代码来攻击其Chrome访问者。不过腾讯团队表示，用户没有理由担心，因为他们已经将这些问题通知了谷歌和SQLite团队。

腾讯表示，两周前发布的谷歌Chrome 79.0.3945.79修复了麦哲伦2.0中的5个漏洞。

SQLite项目也在2019年12月13日修复了补丁中的一系列bugs然而，这些修复并不包含在稳定的SQLite分支中。——依旧是12月10日发布的v3.30.1。

别担心，SQLite和谷歌已经确认并修复了，我们也在帮助其他供应商解决这个问题。我们没有发现任何滥用麦哲伦2.0的证据，现在也不会透露任何细节。如果您有任何技术问题，请随时联系我们！https://t.co/3hUro9URWf

腾讯表示，目前未发现任何针对麦哲伦2.0漏洞的公开攻击代码或攻击。这家中国公司表示，计划在未来几个月内公布这两个漏洞的更多细节，但今天的公告只是他们调查结果的总结，旨在提醒应用程序开发人员，并推动他们更新所附应用程序的SQLite版本。

然而，有些人可能不同意中国公司的决定。去年，当腾讯Blade公布麦哲伦最初漏洞的细节时，该公司遭到了SQLite创始人D. Richard Hipp的严厉批评。

当时，Hipp表示，中国公司夸大了原始漏洞的影响，因为麦哲伦攻击向量不会导致依赖SQLite的大多数应用程序的远程代码执行(RCE)。

SQLite中关于RCE漏洞的报告被大大夸大了。一些聪明的“灰帽子”通过使用恶意编写的SQL找到了获得RCE的方法。因此，如果您允许随机的互联网用户在您的系统上运行任意的SQL，您应该升级它。否则，你没有风险。

希普是对的。他在2018年的观察对于2019年的麦哲伦2.0仍然有效。大多数使用SQLite数据库的应用程序不会受到“远程”麦哲伦2.0攻击的影响。

然而，远程代码执行(RCE)场景在Chrome中是可能的，这主要是由于WebSQL API的存在。