Essendo sempre più browser (secondo qualcuno troppi) basati su Chromium, compresi Edge e Brave, qualsiasi problema legato al motore messo a punto da Google è destinato a interessare un volume enorme di utenti. È il caso di Magellan, un bug scoperto dal team Blade di Tencent e potenzialmente in grado di mettere a rischio la sicurezza delle informazioni, consentendo a un malintenzionato l’esecuzione di codice da remoto.
La vulnerabilità Magellan
Una vulnerabilità a tutti gli effetti, causata da un funzionamento non corretto del database SQLite impiegato sia durante la consultazione delle risorse online tramite browser Chromium-based sia per la gestione dei dati all’interno delle applicazioni su dispositivi mobile come smartphone o tablet. Un’implementazione di SQL che spesso finisce per essere la scelta prediletta dagli sviluppatori poiché in grado di pesare meno sulle risorse di sistema rispetto ad esempio a MySQL o PostgreSQL. Ecco quanto si legge nella documentazione ufficiale sul bug.
Magellan è una vulnerabilità che permette l’esecuzione di codice da remoto scoperta dal team Blade di Tencent in SQLite. In quanto database ben noto, SQLite è ampiamente utilizzato in tutti i sistemi operativi e software moderni, dunque il problema presenta un ampio raggio d’influenza.
Il fix di Google
Il team responsabile della scoperta ha immediatamente messo Google a conoscenza del problema e il gruppo di Mountain View è già intervenuto con un fix che mette al sicuro gli utenti di browser e applicativi basati su Chromium (versione 71.0.3578.80): Chrome, Vivaldi e Brave sono dunque ora immuni dal bug, ma non Opera, che ancora fa utilizzo di una release precedente.
Dopo aver verificato che anche Chromium ne è soggetto, Google ha confermato di aver risolto la vulnerabilità.
I ricercatori di Blade, volutamente, non hanno diffuso troppi dettagli sulla vulnerabilità, così da concedere agli altri sviluppatori il tempo necessario per porvi rimedio e scongiurando il rischio che qualche malintenzionato possa sfruttarla.
Per il momento non forniremo ulteriori dettagli in merito, mentre chiediamo alle altre software house di risolvere il problema al più presto.
Anche SQLite è stato aggiornato con la release 3.26, ma in questo caso agli sviluppatori tocca ora implementare la nuova versione all’interno delle loro applicazioni al fine di scongiurare qualsiasi rischio.