Kerusakan Microsoft Edge Memungkinkan Hacker Curi Informasi Pengguna di Situs Web Mana Saja

Cyberthreat.id – Microsoft, pengembang peramban web Edge, pekan lalu merilis pembaruan untuk memperbaiki dua kerusakan pada perambannya. Salah satu kerusakan itu menyangkut kemungkinan penjahat siber menyuntikkan dan mengeksekusi kode sewenang-wenang (arbitrer) di situs web mana pun.

Kerusakan yang dilabeli CVE-2021-34506 berasal dari skrip lintas situs universal (UXSS) yang dipicu saat menerjemahkan halaman web secara otomatis menggunakan fitur bawaan peramban, yaitu Microsoft Translator.

Masalah itu ditemukan oleh peneliti keamanan siber dari CyberXplore Private Limited, yaitu Ignacio Laurence, Vansh Devgan, dan Shivam Kumar Singh, demikian dikutip dari The Hacker News, diakses Selasa (29 Juni 2021).

"Tidak seperti serangan XSS umum, UXSS adalah jenis serangan yang mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS, dan mengeksekusi kode berbahaya," kata peneliti CyberXplore.

“Ketika kerentanan tersebut ditemukan dan dieksploitasi, kinerja browser akan terpengaruh, bahkan fitur keamanannya dapat dilewati atau dinonaktifkan," peneliti menambahkan.

Secara khusus, peneliti juga menemukan celah yang memungkinkan penyerang berpotensi memasukkan kode JavaScript berbahaya di mana saja di halaman web yang akan diterjemahkan oleh Microsoft Translator.

Dalam skenario serangan, peneliti menyimulasikan dengan sebuah komentar ke video YouTube yang ditulis dalam bahasa selain bahasa Inggris bersama dengan muatan XSS. Atau, permintaan pertemanan dari profil Facebook berisi konten bahasa lain dan muatan  XSS untuk mengeksekusi kode sesaat setelah penerima permintaan itu memeriksa profil pengguna.

Dengan penemuan kerusakan browser itu, pada 24 Juni lalu, Microsoft telah memperbaikinya. Para peneliti yang menemukan bug itu juga telah diberi hadiah sebagai bagian dari bug bounty sebesar US$20.000.

Untuk cara pembaruan Microsoft Edge versi 91.0.864.59 dapat diunduh dengan mengunjungi Settings>About Microsoft (edge://settings/help).

Sebelumnya, pada Juli 2019, Ketua Komunitas Anon Cyber Team (ACT), Winardi Adji, mengatakan, teknik XSS atau Cross Site Scripting menjadi serangan siber paling banyak terjadi di Indonesia.

Menurut Winardi, XSS merupakan teknik serangan injeksi kode yang dilakukan dengan memasukkan kode HTML atau client script code lain ke suatu situs web. Serangan ini muncul dan seolah-olah datang dari sistem tersebut.

“Akibatnya penyerang dapat membobol keamanan situs web, mendapatkan informasi sensitif, bahkan bisa menanamkan malware,” kata Tenwap, sapaan akrabnya, saat menjadi pembicara dalam diskusi publik bertajuk “Cybersecurity for Personal” yang diadakan oleh Cyberthreat.id bersama Komunitas ACT di Jakarta.[]