In der weit verbreiteten Datenbanksoftware SQLite und im Open-Source-Projekt Chromium klafft eine Sicherheitslücke. Angreifer sollen die Schwachstelle aus der Ferne ausnutzen können, um Anwendungen, die SQLite oder Chromium nutzen, Schadcode unterzuschieben. Die Chromium-Entwickler stufen den Bedrohungsgrad der Lücke als "hoch" ein. Eine CVE-Nummer wurde offensichtlich noch nicht vergeben.

Sicherheitsupdates

Vor der Sicherheitslücke warnen Sicherheitsforscher von Tencent Blade in einem Beitrag. Sie haben die Lücke entdeckt und "Magellan" getauft. Ihnen zufolge hat es bislang noch keine Angriffe auf die Schwachstelle gegeben.

Es gibt bereits fehlerbereinigte Versionen von Chromium und SQLite. Wer in der Entwicklung Chromium nutzt, sollte auf die reparierte Version 71.0.3578.80 aktualisieren. SQLite ist in der Ausgabe 3.26.0 abgesichert.

Weit verbreitet

Problematisch ist, dass SQLite in jeder Menge Software und Betriebssystemen zum Einsatz kommt. Beispielsweise in Android, Firefox und Safari – um nur einen kleinen Auszug zu nennen. Es ist davon auszugehen, dass die genannten Produkte von der Magellan-Lücke betroffen sind. Den Sicherheitsforschern zufolge ist jedes Gerät und jede Software, die SQLite oder Chromium einsetzt, potenziell bedroht.

Details zur Lücke will Tencent Blade aus Sicherheitsgründen vorerst nicht veröffentlichen. Bei betroffenen Webbrowsern soll der Besuch einer präparierten Website ausreichen, um einen Angriff einzuleiten. Auch der Exploit-Code, mit dem sie eigenen Angaben zufolge erfolgreich Google Home attackiert haben, soll erst mal unter Verschluss bleiben. So haben Entwickler Zeit, betroffene Software zu aktualisieren. (des)