Milioni di app sono a rischio crash

Gli esperti del CERT lanciano l’allarme: è stata scoperta una vulnerabilità di gravità elevata per alcuni sistemi di database che potrebbe consentire di accedere alla memoria delle applicazioni o causarne il crash. In particolare, si tratta di una vulnerabilità di SQLite, il Database Management System (DBMS SQL) di pubblico dominio implementato sotto forma di libreria incorporabile all’interno delle applicazioni. Pertanto, SQLite è installato in tutti i maggiori sistemi operativi, e in milioni di applicazioni software, tra le quali molte di larga diffusione.

Magellan, una vulnerabilità di gravità elevata

“Grazie alle sue caratteristiche di compattezza, velocità, affidabilità e alla facilità d’uso, SQLite è il gestore di database più diffuso al mondo”, spiegano gli esperti del Computer Emergency Response Team.

La vulnerabilità di gravità elevata scoperta dai ricercatori di sicurezza del Tencent Team Blade è stata battezzata, Magellan, e potrebbe consentire a un attaccante di eseguire codice arbitrario sui dispositivi affetti, accedere alla memoria delle applicazioni o causarne il crash, con conseguente condizione di denial of service (DoS).

Magellan, inoltre, può essere sfruttata facilmente da remoto, ad esempio mediante una pagina Web appositamente predisposta.

A rischio i maggiori sistemi operativi, e non solo

“Anche se non sono stati resi noti i dettagli della vulnerabilità e il corrispondente exploit, questa vulnerabilità ha un impatto potenzialmente enorme – sottolinea il CERT -. La libreria si trova infatti installata in tutti i maggiori sistemi operativi, inclusi Windows, macOS, iOS e Android, e in milioni di applicazioni software, tra le quali molte di larga diffusione, come i browser web Firefox, Chrome e Safari, il client di posta elettronica Thunderbird, oltre a Skype, Dropbox e svariati prodotti Microsoft e Adobe”.

SQLite è integrato anche nei linguaggi di programmazione web PHP e Python, ed è ampiamente utilizzato in sistemi embedded (integrati) per dispositivi IoT (Internet of Things).

Aggiornare i sistemi con le patch di sicurezza

I ricercatori che hanno fatto la scoperta hanno informato tempestivamente gli sviluppatori di SQLite e Google della presenza di questa falla. La vulnerabilità, riporta Adnkronos, è stata corretta in SQLite versione 3.26.0, e in Chrome 71.0.3578.80, rilasciato lo scorso 4 dicembre. Fortunatamente per ora non si hanno notizie che Magellan sia stata sfruttata in attacchi reali. In ogni caso, consigliano gli esperti, “si raccomanda agli utenti di sistemi e applicazioni potenzialmente affetti da questa vulnerabilità di tenerli costantemente aggiornati, installando le patch di sicurezza non appena queste vengono messe a disposizione dai rispettivi produttori”.