信息來源：安全牛

繼麥哲倫1.0 (Magellan 1.0) 曝光三個 SQLite 漏洞后，近日騰訊 Blade 安全團隊公布了 Google Chrome 瀏覽器的五個新漏洞，攻擊者可以利用這些漏洞來遠程執(zhí)行代碼。

SQLite 是全球最受歡迎的輕量級數(shù)據(jù)庫之一，尤其是在嵌入式設備中，SQLite 比 MySQL、SQL Server 資源占用少，執(zhí)行效率高，自帶數(shù)據(jù)庫引擎。因此，騰訊 Blade 發(fā)現(xiàn)的 SQLite 漏洞，其影響范圍非常大，波及大量嵌入式物聯(lián)網(wǎng)設備、桌面軟件（Chrome瀏覽器）和 Android/iOS 應用。

騰訊Blade團隊將新一批五個漏洞命名為麥哲倫2.0（CVE代碼：CVE-2019-13734，CVE-2019-13750，CVE-2019-13751，CVE-2019-13752，CVE-2019-13753）Blade 團隊表示他們可以通過這五個漏洞成功利用 Chrome 瀏覽器。根據(jù)這些漏洞的 CVE Mitre 描述，攻擊者可以通過精心制作的 HTML 頁面遠程利用這些漏洞來發(fā)起一系列惡意攻擊，包括允許攻擊者執(zhí)行 “繞過深度防御措施” 到 “從進程內(nèi)存中獲取潛在敏感信息” 的任何操作。

騰訊研究人員在本周的一份報告中說：如果您的軟件使用 SQLite 作為組件（沒有最新的補丁程序），并且支持外部 SQL 查詢；或者，如果您使用的 79.0.3945.79 之前的 Chrome 并啟用了 WebSQL，都可能會受到影響。

我們已經(jīng)向Google報告了該漏洞的所有詳細信息，如果您的產(chǎn)品使用Chromium，請更新到官方穩(wěn)定版本79.0.3945.79。如果您的產(chǎn)品使用SQLite，請更新到最新的代碼提交。

遵循 “負責任的漏洞披露程序”，Blade 安全人員表示不會在漏洞報告發(fā)布 90 天后披露該漏洞的更多詳細信息。

麥哲倫漏洞已于 2019 年 11 月 16 日報告給 Google 和 SQLite; Google 在 2019 年 12 月 11 日發(fā)布了官方固定的 Chrome 版本：79.0.3945.79。

據(jù)研究人員透露，他們尚未看到麥哲倫 2.0 在野外被利用。