不要总想搞大新闻,这个漏洞不是核弹!
不要总想搞大新闻,这个漏洞不是核弹!
原创 微步情报局 微步在线研究响应中心 2023-11-23 17:01
01 漏洞概况****
Chromium是一个开源的网页浏览器项目,是许多流行浏览器的基础,包括但不限于Google Chrome、Safari、Microsoft Edge和Opera。libxslt是一个基于libxml2的xslt库,它用于转换xml文档。在Chromium中,当需要处理或转换使用xslt的xml文档时会调用libxslt库,这样,Chromium可以正确地显示和处理这些经过xslt处理的网页内容。
微步漏洞团队在11月17日,监控到 libxslt XXE漏洞情报(CVE-2023-4357),
攻击者在某些特定的情况(以–no-sandbox启动)
下可利用该漏洞读取到本地任意文件。
由于在Windows和Linux下,Chrome,微信和企业微信都是默认开启沙箱的,所以并不受该漏洞影响。
微步漏洞团队测试了微信和企业微信在常见终端系统下受影响的情况。结果如下:
| 软件 | Windows | Linux | MacOS |
| Google Chrome(< 116.0.5845.96) | 不影响 | 不影响 | 影响 |
| Safari | - | - | 影响 |
| 微信 | 不影响 | 不影响 | 影响 |
| 企业微信 | 不影响 | 不影响 | 影响 |
建议客户根据终端资产的情况,酌情处置。
02 漏洞处置优先级(VPT)
综合处置优先级:中
****
|
漏洞编号 |
微步编号 |
XVE-2023-25046 |
|
漏洞评估 |
危害评级 |
中危 |
|
漏洞类型 |
|
|
|
公开程度 |
PoC已公开 |
|
|
利用条件 |
|
|
|
交互要求 |
1-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
微步已捕获攻击行为 |
暂无 |
|
影响产品 |
产品名称 |
Chromium内核 |
|
受影响版本 |
version < 116.0.5845.96 | |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |