安全研究員披露 Chrome 的 Magellan 2.0 漏洞

騰訊安全研究員披露了 Google Chrome 的新 Magellan 2.0 漏洞。研究人員共發現了 5 個漏洞，位于 SQLite 中，統稱為 Magellan 2.0，這組漏洞允許攻擊者在 Google Chrome 內遠程運行惡意代碼。Google 與 SQLite 官方已確認并修復了漏洞。如果用戶使用 2019 年 12 月 13 日前的舊版本 SQLite 或運行低于 Chrome 79.0.3945.79 并啟用了 WebSQL 的設備，那么可能會受到影響。和 Magellan 1.0 類似，這組新漏洞是因為 SQLite 數據庫從第三方接受 SQL 命令輸入驗證不正確導致的。攻擊者可以制作包含惡意代碼的 SQL 操作命令，當 SQLite 數據庫引擎讀取該指令時會執行惡意代碼。