导读 Google Chrome 在 116.0.5845.96 版本之前,默认使用的 xsl 库调用 document () 加载的文档时包含对外部实体的引用。攻击者可以创建并托管包含 XSL 样式表的 SVG 图像和包含外部实体引用的文档。当受害者访问 SVG 图像链接时,浏览器会解析 XSL 样式表,调用 document () 加载包含外部实体引用的文档,读取受害者机器的任意文件。

Google Chrome 在 116.0.5845.96 版本之前,默认使用的 xsl 库调用 document () 加载的文档时包含对外部实体的引用。攻击者可以创建并托管包含 XSL 样式表的 SVG 图像和包含外部实体引用的文档。当受害者访问 SVG 图像链接时,浏览器会解析 XSL 样式表,调用 document () 加载包含外部实体引用的文档,读取受害者机器的任意文件。

影响范围

chromium@(-∞, 116.0.5845.96)

chrome@(-∞, 116.0.5845.96)

修复方案

将组件 chromium 升级至 116.0.5845.96 及以上版本

升级至 116.0.5845.96 及以上版本

原文来自:

本文地址://lrxjmw.cn/gcrywjdqld.html编辑:问题终结者,审核员:清蒸github

Linux大全:

Linux系统大全:

红帽认证RHCE考试心得: