注册    登录
看啥推荐读物
专栏名称: 飓风网络安全
专注网络安全,成立于2016年;专注于研究安全服务,黑客技术、0day漏洞、提供服务器网站安全解决方案,数据库安全、服务器安全运维。
我也要提交微信公众号
今天看啥
微信公众号rss订阅, 微信rss, 稳定的RSS源
目录
今天看啥  ›  专栏  ›  飓风网络安全

【漏洞预警】Google Chrome <116.0.5845.96 任意文件读取漏洞

飓风网络安全  · 公众号  ·  · 2023-11-17 22:35
漏洞描述:Google Chrome 是 Google 公司开发的网页浏览器。Google Chrome 在116.0.5845.96版本之前,默认使用的xsl库调用document() 加载的文档时包含对外部实体的引用。攻击者可以创建并托管包含XSL样式表的SVG图像和包含外部实体引用的文档。当受害者访问SVG图像链接时,浏览器会解析XSL样式表,调用document() 加载包含外部实体引用的文档,读取受害者机器的任意文件。VULNERABILITY DETAILSShort description: Libxslt is the default XSL library used in WebKit based browsers such as chrome, safari etc. Libxslt allows external entities inside documents that are loaded by XSL document() method. An attacker can bypass security restrictions, access file:// urls from http(s):// urls and gain file access.With the default sandbox attacker can read /etc/hosts file on ios (safari/chrome), mac (safari/chrome), android (chrome) and samsung tv (default browser).When the -no-sandbox attribute is use ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
推荐文章
新周刊  ·  超过100ml的液体,为什么不能上飞机?
3 天前
新周刊  ·  Costco南京首店开业,爱马仕包秒空
3 天前
三联生活周刊  ·  保时捷路虎狂降几十万,为什么豪车在中国不香了?
3 天前
新周刊  ·  XMAGE影像力量:有技术,也有温度
5 天前
新周刊  ·  老破小有了新出路?
6 天前
药闻天下  ·  CDE:关于公开征求《复方药物临床试验技术指导原则(征求意见稿)》意见的通知
1 年前
该公众号已迁移  ·  从入学条件/流程/查询/对应初中校4方面,辨析朝阳多校划片和单校划片
2 年前
51选刊  ·  期刊介绍:影响因子6.741分
2 年前
灼见  ·  输送战争物资10余年,陪伴新中国成长,这段历史不应被遗忘
4 年前
康石石  ·  特邀专栏:哪些电影适合给学习绘画的人看?
5 年前
关于   移动版   ·   Py中国   ·   RSS之家   ·   codingpro   ·   Code   ·   link之家   ·   卧龙AI搜索   ·   藏经阁   ·   小百科
今天看啥 - 微信公众号rss订阅, 微信rss, 稳定的RSS源
© 2024 ~ 沪ICP备11025650号