Google Perbaiki Zero-day Chrome yang Aktif Dieksploitasi Peretas
Ilustrasi log Google Chrome | Foto: pcmag.com
Cyberthreat.id – Google menyatakan telah memperbaiki kerentanan zero-day (belum ditambal dan tak diketahui sebelumnya) pada peramban web Chrome.
Kerentanan tersebut, menurut mereka, telah dieksploitasi secara aktif oleh peretas sejak awal Maret. “Google tahu ada laporan tentang eksploitasi untuk kerentanan CVE-2021-21193 di alam liar,” tulis Manajer Program Teknis Chrome Prudhvikumar Bommana di blog perushaan, seperti dikutip dari BleepingComputer, diakses Minggu (14 Maret 2021).
Perbaikan atas kerentanan itu dikeluarkan Google dengan merilis Chrome versi 89.0.4389.90 untuk pengguna Windows, Mac, dan Linux.
Jika berhasil mengeksploitasi zero-day itu, hacker bisa mengeksekusi kode arbitrer (mana suka) pada sistem yang menjalankan Chrome versi rentan.
Menurut Google, kerentanan yagn dilaporkan oleh peneliti Anonymous pada 9 Maret lalu tersebut tergolong dengan level keparahan tinggi.
Kelemahan itu disebutkan Google sebagai “use after free bug/vulnerability” pada Blink, mesin rendering peramban sumber terbuka yang dikembangkan oleh proyek Chromium dengan kontribusi dari Google, Facebook, Microsoft, dan lainnya.
“Use after free bug/vulnerability” adalah kerusakan memori yang sering berhasil dieksploitasi oleh peretas pada perangkat lunak web browser.
Meski mengetahui eksploitasi aktif atas kerentanan itu, Google tidak membagikan info mengenai serangan apa yang sedang berlangsung.
"Akses ke detail bug dan tautan tetap dibatasi hingga sebagian besar [browser] pengguna telah diperbarui," kata Google.
Menurut BleepingComputer, sebelum informasi tambahan dirilis, pengguna Chrome seharusnya memiliki lebih banyak waktu untuk memasang pembaruan keamanan yang diluncurkan dalam beberapa hari mendatang untuk mencegah upaya eksploitasi.
Kurangnya info tambahan juga akan mencegah peretas mengembangkan eksploitasi mereka sendiri yang menargetkan zero-day ini.
Pengguna Chrome dapat mengetahui Chrome versi terbaru dengan membuka Pengaturan>Bantuan>Tentang Google Chrome.
Zero-day Chrome ketiga tahun ini
Dengan perbaikan tersebut, Google telah memperbaiki tiga kelemahan zero-day di Chrome sejak awal 2021. Sebelumnya, Chrome memperbaiki zero-day lain (CVE-2021-21166) yang juga dieksploitasi di alam liar. Kerentanan ini telah diatasi dengan rilis Chrome versi 89.0.4389.72 yang diluncurkan pada 2 Maret.
Satu lagi zero-day yang dieksploitasi secara aktif, berupa heap buffer overflow di V8 (CVE-2021-2114) dan dinilai sebagai tingkat keseriusan tinggi. Chrome memperbaikinya pada Februari lalu.
Tahun lalu, Google menambal lima zero-day pada Chrome—semuanya juga digunakan oleh peretas secara aktif dalam serangan siber.[]
