SQLite數組邊界溢出漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到研究人員披露了SQLite中的一個數組邊界溢出漏洞（CVE-2022-35737），該漏洞的CVSSv3評分為7.5，并已存在了22年，目前漏洞細節和PoC已公開。

對此，安識科技建議廣大用戶及時升級到安全版本，并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

漏洞名稱：SQLite數組邊界溢出漏洞

CVE編號：CVE-2022-35737

簡述：SQLite是廣泛使用的數據庫引擎，默認包含在 Android、iOS、Windows 和 macOS 以及主流的Web 瀏覽器（如 Google Chrome、Mozilla Firefox 和 Apple Safari）中。

SQLite 1.0.12到3.39.2之前的版本中存在漏洞，當向某些函數傳遞大量字符串輸入且格式字符串中含%Q、%q或%w格式替換類型或特殊字符時，某些情況下可能導致拒絕服務或任意代碼執行。

3. 漏洞危害

4. 影響版本

目前受影響的SQLite版本：

1.0.12 <= SQLite版本 < 3.39.2

5. 解決方案

目前該漏洞已經修復，受影響用戶可以升級到SQLite 3.39.2或更高版本。

6. 時間軸

【-】2022年10月29日安識科技A-Team團隊監測到漏洞公布信息

【-】2022年10月30日安識科技A-Team團隊根據漏洞信息分析

【-】2022年10月31日安識科技A-Team團隊發布安全通告