Milioni di App a rischio crash  

Milioni di App a rischio crash

(FOTOGRAMMA/IPA)

Pubblicato il: 18/12/2018 08:38

Scoperta una “vulnerabilità di gravità elevata” per alcuni sistemi di database che potrebbe consentire di accedere alla memoria delle applicazioni o causarne il crash. E’ l’allerta lanciata dagli esperti del CERT – Computer Emergency Response Team in merito a ‘SQLite’, un Database Management System (DBMS SQL) di pubblico dominio, implementato sotto forma di libreria incorporabile all’interno di applicazioni, installata in tutti i maggiori sistemi operativi (inclusi Windows, macOS, iOS e Android) e in milioni di applicazioni software, tra le quali molte di larga diffusione.

“SQLite è un DBMS SQL di pubblico dominio, implementato sotto forma di libreria scritta in linguaggio C incorporabile all’interno di applicazioni – fanno sapere gli esperti -. Grazie alle sue caratteristiche di compattezza, velocità, affidabilità e alla facilità d’uso, SQLite è il gestore di database più diffuso al mondo”.

MAGELLAN – “I ricercatori di sicurezza del ‘Tencent Team Blade’ hanno recentemente scoperto una vulnerabilità di gravità elevata in SQLite, battezzata Magellan, che potrebbe consentire ad un attaccante di eseguire codice arbitrario sui dispositivi affetti, accedere alla memoria delle applicazioni o causarne il crash, con conseguente condizione di denial of service (DoS). La vulnerabilità può essere sfruttata facilmente da remoto, ad esempio mediante una pagina Web appositamente predisposta”.

I RISCHI – “Anche se non sono stati resi noti i dettagli della vulnerabilità e il corrispondente exploit, questa vulnerabilità ha un impatto potenzialmente enorme – sottolinea il CERT – . La libreria si trova infatti installata in tutti i maggiori sistemi operativi, inclusi Windows, macOS, iOS e Android, e in milioni di applicazioni software, tra le quali molte di larga diffusione, come Firefox, Chrome, Safari, Thunderbird, Skype e Dropbox, oltre a svariati prodotti Microsoft e Adobe”. SQLite è integrato anche “in PHP e Python ed è ampiamente utilizzato in sistemi embedded per dispositivi IoT”.

CORREZIONE – I ricercatori che hanno fatto la scoperta “hanno informato tempestivamente gli sviluppatori di SQLite e Google della presenza di questa falla. La vulnerabilità è stata corretta in SQLite versione 3.26.0 e in Chrome 71.0.3578.80, rilasciato lo scorso 4 dicembre. Fortunatamente non si hanno notizie che la falla sia stata sfruttata in attacchi reali”.

AGGIORNAMENTI – Ad ogni modo, consigliano gli esperti, “si raccomanda agli utenti di sistemi e applicazioni potenzialmente affetti da questa vulnerabilità di tenerli costantemente aggiornati installando le patch di sicurezza non appena queste vengono messe a disposizione dai rispettivi produttori”.