漏洞描述:
GoogleChrome是由Google公司开发的一款网页浏览器,在Chrome中,Serial组件是一个API接口,允许网站直接与连接在本地计算机上的串行设备(如Arduino、嵌入式开发板等)通信,Family Experiences组件可用于帮助家长管理孩子的在线活动和设备使用,Google Chrome发布安全更新修复了Chrome中的两个释放后重用漏洞(CVE-2024-10826和CVE-2024-10827),详情如下:
1.CVE-2024-10827:Google Chrome Serial释放后重用漏洞
GoogleChrome130.0.6723.116之前版本在Serial组件中存在Use-After-Free漏洞,攻击者可能通过恶意设计的网页或脚本来诱导用户访问包含恶意代码的页面,从而在访问串行端口的过程中触发该漏洞,成功利用可能导致浏览器崩溃、窃取数据甚至控制连接的设备、远程代码执行和沙箱逃逸等。
2.CVE-2024-10826:Google Chrome Family Experiences释放后重用漏洞
Google Chrome 130.0.6723.116之前版本在Family Experiences组件中存在Use-After-Free漏洞,攻击者可能通过诱导用户点击恶意链接或访问特制网页来触发该漏洞,成功利用可能导致浏览器崩溃、数据泄露、远程代码执行和权限提升等。
影响范围:
Google Chrome(Windows/Mac)版本 < 130.0.6723.116/.117
Google Chrome(Linux)版本 < 130.0.6723.116修复建议:
升级版本
目前该漏洞已经修复,受影响用户可升级到以下版本:
Google Chrome(Windows/Mac)版本 >= 130.0.6723.116/.117
Google Chrome(Linux)版本 >= 130.0.6723.116
下载链接:
https://www.google.cn/chrome/
手动检查更新:
Chrome用户可通过Chrome 菜单-【帮助】-【关于 Google Chrome】检查版本更新,并在更新完成后重新启动。
原文始发于微信公众号(飓风网络安全):【漏洞预警】Google Chrome Serial释放后重用漏洞(CVE-2024-10827)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论