Une faille critique touche des milliers d’applis et exposerait une grande partie des Internautes
Les applications les plus exposées sont les navigateurs Web. Chrome, Brave et Vivaldi ont d’ores et déjà été patchés. Pour toutes les autres applications qui intègrent des bases SQLite, le risque n’est pas très clair.
Si vous n’avez pas mis à jour
votre navigateur récemment, il est temps de le faire. Des chercheurs en
sécurité ont découvert une faille critique dans SQLite, une base de données
intégrées dans de milliers d’applications, fixes ou mobiles.
Baptisée « Magellan », cette
vulnérabilité permet à un pirate d’exécuter du code arbitraire à distance, et
donc de prendre le contrôle du système sous-jacent. Seules les applications
acceptant n’importe quelles requêtes SQL sont vulnérables à ce type d’attaque.
Ce qui est justement le cas de Chrome et de ses cousins basés sur Chromium, car ils intègrent l’interface de
programmation Web SQL, mais aussi de Firefox, qui embarque une base de données
SQLite.
Une faille qui risque de durer
La bonne nouvelle, c’est
qu’une mise à jour de SQLite est
d’ores et déjà disponible. Elle a été répercutée dans les dernières versions de
Chrome, Brave et Vivaldi, mais pas encore dans
Opera, ni dans Firefox. Google a également diffusé un correctif pour son
enceinte connectée Home.
Le cas de toutes les autres applications intégrant une base SQLite est
incertain. Généralement, les développeurs prennent toujours beaucoup de temps à
mettre à jour les composants internes de leurs applications et il est possible
que cette faille nous occupe encore pendant des mois, voire des années.
Si les applications ne transmettent pas directement des requêtes SQL vers la base de données, le risque est évidemment limité. Mais à l’heure actuelle, il est difficile de trier le bon grain de l’ivraie. Tout dépend de la manière dont l’application a été programmée. En tant qu’utilisateur, la seule chose que l’on puisse faire est de mettre à jour ses logiciels le plus rapidement possible. Au regard de cette situation, les chercheurs de Tencent ont décidé de ne pas livrer de détails techniques sur cette faille et ils n’ont pas publié le code d’exploitation qu’ils ont développé dans le cadre de leur recherche. Pour autant, les pirates ont certainement déjà commencé à analyser le patch pour découvrir, par rétro-ingénierie, l’origine précise de cette faille. Ce n’est donc qu’une question de temps avant qu’ils ne passent à l’attaque.