Magellan 2.0, de nouvelles failles dans Google Chrome

Des chercheurs en sécurité informatique ont révélé 5 vulnérabilités, nommées Magellan 2.0, récemment patchées dans le navigateur Google Chrome. Ces failles de sécurité auraient pu être exploité pour exécuter du code à distance.

Les vulnérabilités ont été nommé Magellan 2.0 par l’équipe de chercheurs de Tencent Blade qui les a découvertes. Ces failles de sécurité se trouvent dans le système de gestion de base de données SQLite.

Magellan SQLite

SQLite est une bibliothèque écrite en langage C qui propose un moteur de base de données relationnelle accessible par le langage SQL. SQLite implémente en grande partie le standard SQL-92 et des propriétés ACID. Contrairement aux serveurs de bases de données traditionnels, comme MySQL ou PostgreSQL, sa particularité est de ne pas reproduire le schéma habituel client-serveur mais d’être directement intégrée aux programmes. L’intégralité de la base de données (déclarations, tables, index et données) est stockée dans un fichier indépendant de la plateforme.

Les chercheurs affirment avoir été capable d’exploiter le navigateur Chrome avec ces 5 failles de sécurité:  CVE-2019-13734CVE-2019-13750, CVE-2019-13751CVE-2019-13752, CVE-2019-13753. Selon les descriptions de CVE Mitre, les vulnérabilités peuvent être exploité à distance via une page HTML spéciale et lancer une ribambelle d’attaques qui permettra aux hackers de contourner les défenses ou encore d’obtenir des données sensibles.

“Magellan signifie un groupe de vulnérabilités que nous avons reporté récemment,” ont expliqué les chercheurs de Tencent dans leur rapport. “Si vous utilisez un logiciel qui utilise une version de SQLite non patchée et qu’il supporte les requêtes SQL externes… Ou si vous utilisez une version de Chrome antérieure à la version 79.0.3945.79 et que WebSQL est activé, il est possible que vous soyez affecté.”

Google et SQLite ont été alerté le 16 Novembre 2019. Le 11 Décembre 2019, Google a distribué une version patchée de Chrome: 79.0.3945.79.

Comment se protéger de Magellan 2.0?

Pour vous protégez de ces vulnérabilité il est donc recommandé de mettre à jour Chrome et SQLite vers les dernières versions stables le plus vite possible.

Magellan 2.0 ne semble pas être exploité activement par des hackers.

Magellan 2.0 s’inspire des failles Magellan précédentes: un ensemble de 3 dépassements de tampon et 1 divulgation de données dans SQLite (CVE-2018-20346, CVE-2018-20505 CVE-2018-20506). Ces vulnérabilités avaient été découverte en 2018 et impactait un large nombre de navigateurs, d’appareils IoT et de smartphones qui utilisaient le moteur Chromium.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x