Chromium libxslt XXE漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。 Google Chrome 116.0.5845.96 之前版本存在安全漏洞，该漏洞源于XML 中输入验证不充分，允许远程攻击者通过精心设计的 HTML 页面绕过文件访问限制。

1. 利用 XXE 进行 DOS 攻击；
2. 读取本地任意敏感文件；
3. 利用相关协议探测内网主机 IP、端口等信息；
4. 在特定条件下利用 Java 中的 jar:// 协议，php 中的 phar:// 可能导致恶意文件上传；
5. PHP 中如果安装了 expect 扩展，可利用 XXE 执行任意命令。

CVE-2023-4357是Google Chrome浏览器中的一个中危信息泄露漏洞，源于XML中对不可信输入验证不足，可能允许远程攻击者通过精心构造的HTML页面绕过文件访问限制。该漏洞已在Chrome 116.0.5845.96版本中修复。

修复建议：

用户应立即将Google Chrome浏览器升级到116.0.5845.96或更高版本。

Windows/macOS/Linux桌面版升级步骤：

1. 打开Google Chrome浏览器。
2. 点击浏览器右上角的三个点菜单图标（⋮）。
3. 选择“帮助” -> “关于 Google Chrome”。
4. 浏览器将自动检查并下载最新版本。
5. 下载完成后，点击“重新启动”按钮以完成安装。

更新命令（适用于基于Chromium的Linux发行版）：

对于Debian/Ubuntu用户，可以通过以下命令更新chromium包（版本号可能因发行版仓库同步而异，但应确保升级到包含修复的版本，例如Debian DSA-5479）：

sudo apt update
sudo apt upgrade chromium

对于Fedora用户，可以通过以下命令更新chromium包：

sudo dnf update chromium

安全版本信息：

   安全版本： 116.0.5845.96 (Mac/Linux) 或 116.0.5845.96/.97 (Windows)
   官方公告链接： https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html