微信、支付宝、小米浏览器、携程应用等国内主流软件均存在任意文件读取漏洞。此漏洞源于Chrome浏览器内核漏洞,而国内很多app,包括苹果内置浏览器均为谷歌浏览器,故影响全系列产品.
Chrome 是一款由 Google 开发的网页浏览器,基于开源引擎 WebKit 和 Blink,使用强大的 JavaScript V8 引擎。它提供了适用于 iOS、Android 和 Windows Phone 等系统的 Chrome 浏览器。
WebKit默认使用的xsl库(Libxslt),调用document()加载的文档里面包含对外部实体的引用。
本人亲测 (ios微信 Android微信 Safari浏览器 vivo浏览器 均可任意文件读取.)
Chrome 版本 < 116.0.5845.96
Chromium 版本 < 116.0.5845.96
Electron 版本 < 26.1.0
将Poc部署到服务器上后发送给好友 ,即可读取对方文件.
Android微信
ios微信
Safari浏览器
用户不要点击陌生链接,防止被攻击!!!!!!!!!!!!!!!!
PS:如果遇到 Chrome 浏览器的高危漏洞,如 CVE-2023-2033,建议立即更新浏览器到最新版本,以降低受到攻击的风险。同时,关注安全团队发布的相关通报,并采取措施防止潜在威胁,遇到 Chrome 浏览器问题时,首先确保浏览器是最新版本,清理缓存和数据,然后根据具体问题寻找解决方案。如果问题仍然存在,可以尝试重新安装浏览器或寻求开发者或安全团队的帮助。
原文始发于微信公众号(星悦安全):Chrome内核,重大漏洞!!!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论