Vulnerabilidad crítica en SQLite; favor de actualizar a la brevedad

Este software es utilizado por miles de organizaciones en el mundo

Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan el descubrimiento de una vulnerabilidad crítica en el software de SQLite, un motor de base de datos utilizado ampliamente; según los reportes, la vulnerabilidad podría comprometer millones de implementaciones a múltiples ciberataques.

La vulnerabilidad de SQLite, apodada “Magellan” por el equipo de expertos que la descubrió, permitiría a un atacante remoto ejecutar códigos maliciosos o arbitrarios en los dispositivos comprometidos, filtrar la memoria del programa o bloquear las aplicaciones.

SQLite es un sistema de gestión de bases de datos relacionales basado en disco, liviano y ampliamente utilizado que requiere un soporte mínimo de sistemas operativos o bibliotecas externas y, por lo tanto, es compatible con casi cualquier dispositivo, plataforma o lenguaje de programación, mencionan los expertos en forense digital.

Actualmente, SQLite es utilizado por millones de aplicaciones y, por lo tanto, por miles de millones de implementaciones, incluyendo dispositivos de Internet de las Cosas (IoT), macOS y aplicaciones de Windows, además de los motores de búsqueda más utilizados, el software de Adobe, Skype y muchas otras plataformas.

Dado que los navegadores web basados en Chromium, como Chrome, Opera, y Brave, también son compatibles con SQLite a través de la API de base de datos web SQL, considerada obsoleta, un atacante remoto podría atacar fácilmente a los usuarios de los navegadores afectados, sólo convenciéndolos de visitar un sitio web especialmente diseñado.

“Después de confirmar quela vulnerabilidad también afectaba a Chromium, un equipo forense digital de Google solucionó la falla”, se mencionó en el blog de la empresa.

El equipo encargado de SQLite lanzó la versión actualizada de su software 3.26.0 para corregir la vulnerabilidad después de haber recibido el informe de los expertos en ciberseguridad. Por otra parte, Google ha lanzado la versión 71.0.3578.80 de Chromium para solucionar el problema.

Especialistas de una firma de ciberseguridad afirman que lograron diseñar una prueba de concepto del exploit exitosamente contra Google Home, el altavoz inteligente de la empresa. Debido a que la mayoría de las aplicaciones no serán actualizadas en breve, los expertos encargados de la investigación decidieron no divulgar mayores detalles sobre la vulnerabilidad o la prueba de concepto.

SQLite es utilizado por Adobe, Apple, Dropbox, Firefox, Android y muchos otros desarrollos, por lo que esta vulnerabilidad es considerada un problema crítico, aunque aún no existen evidencias de que haya sido explotada en un ambiente real.

Especialistas en ciberseguridad recomiendan a usuarios y administradores actualizar sus sistemas e instalar los parches de seguridad tan pronto como estén disponibles.

(Visited 220, 1 times)