关于国内众多主流软件存在任意文件读取的漏洞

【预警类型】高危预警

一、漏洞概述

微信、支付宝、小米浏览器、携程应用等国内主流软件均存在任意文 件读取漏洞。此漏洞源于谷歌浏览器内核漏洞，而国内很多app，包括苹 果内置浏览器均为谷歌浏览器，故影响全系列产品。

二、漏洞详情

Google Chrome是一款由Google（谷歌）公司开发的网页浏览器。 该浏览器基于开源内核（如WebKit）编写，目标是提升稳定性、速度和 安全性，并创造出简单且有效率的使用者界面。WebKit默认使用的xsl库(Libxslt),调用document()加载的文档里 面包含对外部实体的引用。 攻击者可以创建并托管包含XSL样式表的SVG图像和包含外部实体 引用的文档。 当受害者访问SVG图像链接时,浏览器会解析XSL样式表,调用document()加载包含外部实体引用的文档，读取受害者机器的任意文件。 漏洞影响范围： 受影响的类型 受影响版本号Chrome 116.0.5845.96 Chromium 116.0.5845.96 Electron 26.1.0

三、处置建议

1、升级应用内置浏览器版本；

2、用户不要点击陌生链接，防止被攻击

参考链接：

https://mp.weixin.qq.com/s/8XbqaAf6JYl39VREVHfuDA