据外媒10月25日报道,研究人员披露了SQLite数据库库中整数溢出漏洞(CVE-2022-35737)。该漏洞是2000年10月的代码更改时引入的,这个已存在22年的漏洞影响了SQLite版本1.0.12到3.39.1。如果在C API的字符串参数中使用数十亿字节可能导致数组边界溢出,攻击者成功利用该漏洞可在目标系统上执行任意代码。研究人员称,在编写它的时候(2000年的SQLite源代码中),当时系统主要是32位架构,这可能并不是一个漏洞。目前,漏洞已在2022年7月21日发布的版本3.39.2中修复。
(来源:网安快讯)