【核弹级漏洞预警】苹果、微信、支付宝、小米浏览器、携程应用等均存在任意文件读取漏洞原创 安全透视镜 网络安全透视镜 2023-11-19 08:01 发表于美国一、漏洞描述微信、支付宝、小米浏览器、携程应用等国内主流软件均存在任意文件读取漏洞。此漏洞源于谷歌浏览器内核漏洞，而国内很多app，包括苹果内置浏览器均为谷歌浏览器，故影响全系列产品。Google Chrome是一款由Google（谷歌）公司开发的网页浏览器。该浏览器基于开源内核（如WebKit）编写，目标是提升稳定性、速度和安全性，并创造出简单且有效率的使用者界面。WebKit默认使用的xsl库(Libxslt),调用document()加载的文档里面包含对外部实体的引用。攻击者可以创建并托管包含XSL样式表的SVG图像和包含外部实体引用的文档。当受害者访问SVG图像链接时,浏览器会解析XSL样式表,调用document() 加载包含外部实体引用的文档，读取受害者机器的任意文件。图片二、漏洞影响范围Chrome 版本 < 116.0.5845.96Chromium 版本 < 116.0.5845.96Electron 版本 < 26.1.0国内影响：使用谷歌浏览器内核的应用基本都受影响，如：手机微信，支付宝，抖音，携程，小米（自带浏览器），UC浏览器，via浏览器，夸克浏览等等（这些都是11月19日晚测过的）