Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070
contact_icon
購入 試用
エクスポージャー管理
AI セキュリティ
クラウドセキュリティ
OT セキュリティ
脆弱性管理
Hexa AI
アイデンティティセキュリティ
パッチ管理
アタックサーフェス管理
ウェブアプリスキャン
セキュリティツールコネクタ
全ての製品を表示

ユースケース別に見る

AI の保護
OT/IoT の保護
エクスポージャー管理
クラウドセキュリティ
コンプライアンス
脆弱性管理
資産インベントリ
高セキュリティ環境
データコネクタの保護
ゼロトラスト

業界別に見る

金融サービス
エネルギー
ヘルスケア
テクノロジー
教育
政府・防衛
小売
Tenable が選ばれる理由
業界での認知
顧客事例
競合比較
レポート
Tenable はエクスポージャー管理の明白なリーダー
理由を見る
リソースライブラリ
エクスポージャー管理のリソース
ブログ
リサーチセンター
トレーニングおよび認定
サイバーセキュリティガイド
顧客事例
パートナーを検索
リソース

エクスポージャー管理
リソースセンター

実践的なリソースとツールで、エクスポージャー管理戦略を加速させましょう。
内容を見る
Tenable について
リーダーシップ
投資家向け広報
Tenable ventures
受賞歴と評価
メディアルーム
採用
エンゲージメントとインクルージョン
エクスポージャー管理のリーダーシップカウンシル
3-minute read Dec 24 2019

Google Chrome、SQLite の脆弱性「Magellan 2.0」の影響を受ける

Rody Quinlan
By Rody Quinlan
購読する

2018年に Magellan シリーズの脆弱性が公開されてから1年1週間後に、Magellan 2.0、および、5件の新しい脆弱性が公開されました。

背景

2019年12月23日、Tencent Blade Team は、研究者 Wenxiang Qian 氏が発見した SQLite の新しい一連の脆弱性「Magellan 2.0」に関するアドバイザリを発行しました。これは、昨年公開された最初の Magellan の脆弱性とは異なります。

分析

現在、Magellan 2.0に関連する情報は、アドバイザリ、および、2019年12月10日に発行された CVE 識別番号 (CVE ID)(CVE-2019-13734CVE-2019-13750CVE-2019-13751 CVE-2019-13752、および、CVE-2019-13753) に限られています。 Tencent Blade Team は、これらの脆弱性はメモリのリークを発生させ、プログラムのクラッシュおよびリモートコードの実行を引き起こすと述べています。

攻撃者は Tencent Blade Team が発見した脆弱性を悪用し、脆弱な SQLite データベースに悪意のある SQL コマンドを渡し、任意のコードを実行する可能性があります。SQLite データベースに対してこのようなリモート攻撃を実行するには、SQLite データベースとインターネットに接続しているアプリケーション間の不適切に処理された直接入力が必要になります。

Google Chrome では、デフォルトで Web SQL Database がインストールされているため、これらの脆弱性はリモートから悪用される可能があります。これは、JavaScript コードをSQLコマンドに変換して、Google Chrome の内部 SQLite データベースで実行する API で、ユーザーデータとブラウザ設定を保存するために使用されます。

この脆弱性の影響を防ぐには、SQLite をコンポーネントとして実装し、SQL をサポートするすべてのアプリケーションは、最新のパッチを適用する必要があります。また、Chrome/Chromium v79.0.3945.79以前のバージョンを使用しているユーザーも、この脆弱性の影響を受けます。古いバージョンの Chrome / Chromium を使用するスマートデバイス、古いバージョンの Chrome / Webview を使用して構築されたブラウザ、古いバージョンの Webview を使用する Android アプリ、Chromium の古いバージョンを使用するソフトウェアもこれらの脆弱性の影響を受けると Tencent Blade Team は述べています。Tencent Blade Team は、ベンダーと協力してこの問題に対処していると述べており、現在のところ悪用は確認されていないと指摘しています。

概念実証

このブログ記事が公開された時点では、概念実証(PoC)はリリースされていませんが、今後、公開される可能性があります。TenCent Blade チームは、PoC のリリースについて、「まだです。私たちは、脆弱性情報の「責任ある開示」プロセスに従い、脆弱性報告から90日以内に脆弱性の詳細を開示しません。」彼らは、これらの脆弱性を2019年11月16日に Google と SQLite に最初に報告しています。

ソリューション

Tenable は、早急にパッチを適用したバージョンにアップグレードすることを組織および個人のユーザーに強く推奨します。2018年12月10日、Google は Chromium 向けに79.0.3945.79 (デスクトップ用安定チャンネル更新) をリリースしています。SQLite は、2019年12月13日にバグに対処しましたが、安定版のパッチはまだリリースされていません。リリースされしだい、安定版を使用することを推薦します。

影響を受けているシステムの特定

これらの脆弱性を識別する Tenable プラグインのリストは、こちらからご覧いただけます。

詳細情報

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。

Author

もっと詳しく

Rody Quinlan

Rody Quinlan

セキュリティリスポンス、スタッフリサーチエンジニア
Rody Quinlan previously worked at Tenable and in mid 2024 returned as a member of the Security Response Team (SRT). Prior to this he led the Security Operations team at Fenergo, a fintech unicorn, for a number of years delivering a number of functions including incident response, threat intelligence...

続きを読む

もっと詳しく

関連記事

Cyber Exposure Alerts
Dirty Frag (CVE-2026-43284, CVE-2026-43500): Frequently asked questions about… image
May 8 2026

Dirty Frag (CVE-2026-43284, CVE-2026-43500): Frequently asked questions about…

AI Security
Anthropic’s CEO warns the “moment of danger” is real. But most are looking in… image
May 6 2026

Anthropic’s CEO warns the “moment of danger” is real. But most are looking in…

Cyber Exposure Alerts
Copy Fail (CVE-2026-31431): Frequently asked questions about Linux kernel… image
Apr 30 2026

Copy Fail (CVE-2026-31431): Frequently asked questions about Linux kernel…

  • Vulnerability Management