Des chercheurs de l'équipe Blade de la société Tencent avertissent de l'existence d'une faille critique dans le système de base de données SQLite. Les chercheurs ont baptisé cette vulnérabilité Magellan.

Magellan est une vulnérabilité d'exécution de code à distance découverte par Tencent Blade Team qui existe dans SQLite. En tant que base de données bien connue, SQLite est largement utilisée dans de nombreux systèmes d’exploitation et logiciels, de sorte que cette vulnérabilité présente une grande surface d'attaue. Après avoir testé cette vulnérabilité, Google a confirmé et corrigé cette vulnérabilité. Nous ne divulguerons aucun détail sur cette vulnérabilité pour le moment, et nous incitons les autres fournisseurs à résoudre le problème dans les meilleurs délais, explique l'équipe Blade

SQLite est en effet utilisée dans de nombreux système IoT, des applications Android et iOS. Des navigateurs sont aussi vulnérables. Chrome qui intègre l'API Web SQL, Firefox qui embarque une base de données SQLite, par exemple. Les navigateurs Brave, Vivaldi et Opera sont également vulnérables, ainsi que l'enceinte connectée Google Home. Les chercheurs de Blade indiquent d'ailleurs avoir réussi à exploiter cette vulnérabilité sur Google Home.

Le simple fait de naviguer sur une page malveillante peut vous exposer à un exploit de cette vulnérabilité qui permet une exécution de code à distance.

SQLite a déjà publié un correctif, avec SQLite 3.26.0. Google également. Ca ne devrait pas tarder pour Firefox et Opera. Toutefois il convient de rester très prudent, car vous utilisez peut-être des applications ou des IoT basés sur SQLite qui peuvent tarder à être mis à jour.