Les applications les plus exposées sont les navigateurs Web. Chrome, Brave et Vivaldi ont d’ores et déjà été patchés. Pour toutes les autres applications qui intègrent des bases SQLite, le risque n’est pas très clair.
Si vous n’avez pas mis à jour votre navigateur récemment, il est temps de le faire. Des chercheurs en sécurité de Tencent Security ont découvert une faille critique dans SQLite, une base de données intégrées dans de milliers d’applications, fixes ou mobiles.
Baptisée « Magellan », cette vulnérabilité permet à un pirate d’exécuter du code arbitraire à distance, et donc de prendre le contrôle du système sous-jacent. Seules les applications acceptant n’importe quelles requêtes SQL sont vulnérables à ce type d’attaque. Ce qui est justement le cas de Chrome et de ses cousins basés sur Chromium, car ils intègrent l’interface de programmation Web SQL, mais aussi de Firefox, qui embarque une base de données SQLite.
Une faille qui risque de durer
La bonne nouvelle, c’est qu’une mise à jour de SQLite est d’ores et déjà disponible. Elle a été répercutée dans les dernières versions de Chrome, Brave et Vivaldi, mais pas encore dans Opera, ni dans Firefox. Google a également diffusé un correctif pour son enceinte connectée Home.
Le cas de toutes les autres applications intégrant une base SQLite est incertain. Généralement, les développeurs prennent toujours beaucoup de temps à mettre à jour les composants internes de leurs applications et il est possible que cette faille nous occupe encore pendant des mois, voire des années.
Si les applications ne transmettent pas directement des requêtes SQL vers la base de données, le risque est évidemment limité. Mais à l’heure actuelle, il est difficile de trier le bon grain de l’ivraie. Tout dépend de la manière dont l’application a été programmée. En tant qu’utilisateur, la seule chose que l’on puisse faire est de mettre à jour ses logiciels le plus rapidement possible.
Au regard de cette situation, les chercheurs de Tencent ont décidé de ne pas livrer de détails techniques sur cette faille et ils n’ont pas publié le code d’exploitation qu’ils ont développé dans le cadre de leur recherche. Pour autant, les pirates ont certainement déjà commencé à analyser le patch pour découvrir, par rétro-ingénierie, l’origine précise de cette faille. Ce n’est donc qu’une question de temps avant qu’ils ne passent à l’attaque.