Magellan, a rischio i browser basati su Chromium

Scoperta dal team Blade di Tencent, Magellan è la vulnerabilità che colpisce il database SQLite e di conseguenza i browser basati su Chromium.

Magellan, a rischio i browser basati su Chromium

Essendo sempre più browser (secondo qualcuno troppi) basati su Chromium, compresi Edge e Brave, qualsiasi problema legato al motore messo a punto da Google è destinato a interessare un volume enorme di utenti. È il caso di Magellan, un bug scoperto dal team Blade di Tencent e potenzialmente in grado di mettere a rischio la sicurezza delle informazioni, consentendo a un malintenzionato l’esecuzione di codice da remoto.

La vulnerabilità Magellan

Una vulnerabilità a tutti gli effetti, causata da un funzionamento non corretto del database SQLite impiegato sia durante la consultazione delle risorse online tramite browser Chromium-based sia per la gestione dei dati all’interno delle applicazioni su dispositivi mobile come smartphone o tablet. Un’implementazione di SQL che spesso finisce per essere la scelta prediletta dagli sviluppatori poiché in grado di pesare meno sulle risorse di sistema rispetto ad esempio a MySQL o PostgreSQL. Ecco quanto si legge nella documentazione ufficiale sul bug.

Magellan è una vulnerabilità che permette l’esecuzione di codice da remoto scoperta dal team Blade di Tencent in SQLite. In quanto database ben noto, SQLite è ampiamente utilizzato in tutti i sistemi operativi e software moderni, dunque il problema presenta un ampio raggio d’influenza.

Il fix di Google

Il team responsabile della scoperta ha immediatamente messo Google a conoscenza del problema e il gruppo di Mountain View è già intervenuto con un fix che mette al sicuro gli utenti di browser e applicativi basati su Chromium (versione 71.0.3578.80): Chrome, Vivaldi e Brave sono dunque ora immuni dal bug, ma non Opera, che ancora fa utilizzo di una release precedente.

Dopo aver verificato che anche Chromium ne è soggetto, Google ha confermato di aver risolto la vulnerabilità.

I ricercatori di Blade, volutamente, non hanno diffuso troppi dettagli sulla vulnerabilità, così da concedere agli altri sviluppatori il tempo necessario per porvi rimedio e scongiurando il rischio che qualche malintenzionato possa sfruttarla.

Per il momento non forniremo ulteriori dettagli in merito, mentre chiediamo alle altre software house di risolvere il problema al più presto.

Anche SQLite è stato aggiornato con la release 3.26, ma in questo caso agli sviluppatori tocca ora implementare la nuova versione all’interno delle loro applicazioni al fine di scongiurare qualsiasi rischio.

Fonte: Tencent

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    "non hanno diffuso dettagli" ..mhh... ma se non ho capito male il fix e' gia' stato commited 2 settimane fa sui sorci di chromium e sqlite.... tempo di un diff e di capire ... e il problema esce fuori.. no? :P
  • Pierpaci scrive:
    "Essendo sempre più browser (secondo qualcuno troppi) basati su Chromium, compresi Edge..." Edge non è ancora basato su Chromium...e quando lo sarà sicuramente questo problema sarà già stato risolto
  • yepp scrive:
    Ecco il perché è sbagliato creare un'unica piattaforma web basata sullo stesso codice…
Chiudi i commenti