关于Google Chrome Serial释放后重用漏洞（CVE-2024-10827）的安全预警

一、 基本情况

Google Chrome是由Google公司开发的一款网页浏览器。在Chrome中，Serial组件是一个API接口，允许网站直接与连接在本地计算机上的串行设备（如Arduino、嵌入式开发板等）通信；Family Experiences组件可用于帮助家长管理孩子的在线活动和设备使用。

二、 漏洞描述

Google Chrome发布安全更新，修复了Chrome中的两个释放后重用漏洞（CVE-2024-10826和CVE-2024-10827），详情如下：

CVE-2024-10827：Google Chrome Serial释放后重用漏洞

Google Chrome 130.0.6723.116之前版本在Serial组件中存在Use-After-Free漏洞，攻击者可能通过恶意设计的网页或脚本来诱导用户访问包含恶意代码的页面，从而在访问串行端口的过程中触发该漏洞，成功利用可能导致浏览器崩溃、窃取数据甚至控制连接的设备、远程代码执行和沙箱逃逸等。

CVE-2024-10826：Google Chrome Family Experiences释放后重用漏洞

Google Chrome 130.0.6723.116之前版本在Family Experiences组件中存在Use-After-Free漏洞，攻击者可能通过诱导用户点击恶意链接或访问特制网页来触发该漏洞，成功利用可能导致浏览器崩溃、数据泄露、远程代码执行和权限提升等。

三、 影响范围

Google Chrome（Windows/Mac）版本 < 130.0.6723.116/.117

Google Chrome（Linux）版本 < 130.0.6723.116

四、 修复建议

Google Chrome（Windows/Mac）版本 >= 130.0.6723.116/.117

Google Chrome（Linux）版本 >= 130.0.6723.116

下载链接：

https://www.google.cn/chrome/

手动检查更新：

Chrome用户可通过Chrome 菜单-【帮助】-【关于 Google Chrome】检查版本更新，并在更新完成后重新启动。

五、 参考链接

https://chromereleases.googleblog.com/2024/11/stable-channel-update-for-desktop.html

https://nvd.nist.gov/vuln/detail/CVE-2024-10827