Исходное сообщение
"Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..." Отправлено Аноним, 18-Дек-18 01:53
> SQLite - для десктопов и эмбеддеда. Это не помешало наворотить фич и в нем. И Bobby Tables таки и на него распостраняется, хоть там что. Если БД key-value внешнему миру еще можно аккуратно вывесить, при условии что он жрет любой key и value, чикеря интенсивность запросов и размер базы, то вот SQL вывесить голым задом - идея очень спорная с самого начала. И вообще, чем меньше у атакующего способов тыкать систему палочкой, тем устойчивее система. А в сиквеле очень много способов тыкания палочкой. Настолько хитрозадых, что порой лажают даже фреймворки, старательно фильтрующие ввод и декларирующие безопасность своей целью. А они в этом параноидальнее тебя на два порядка, если что. > В ванильной SQLite этого нет, и даже плагина официального для этого нет. И тем не менее, там есть много чего еще и когда вот столько для атакующего вывешено - это гарантирует много сюрпризов. Неприятных, если вы - не атакующий. > Ванильная SQLite содержит встроенную песочницу Угу, угу, у мозиллы тоже был безопасный просмотрщик пдф на яваскрипте. Атакующие решили что кроссплатформенный сканер содержимого винчей - это и правда круто. И запилили эпичнейший 0day на основе "безопасного" просмотрщика pdf. Еще и цук кроссплатформенный, так что винде, макоси и линю досталось поровну. И даже юзеж какой-нибудь бзды от этого эксплойта не спасет - ему похрен, он на яваскрипте.