Update Sekarang! Google Bergegas Tambal Kerentanan Kritis Chrome yang Dieksploitasi di Alam Liar

Cyberthreat.id – Google meluncurkan patch keamanan out-of-band untuk mengatasi kelemahan keamanan kritis pada browser web Chrome-nya yang dikatakan telah dieksploitasi secara liar.

“Dilacak sebagai CVE-2023-4863, masalah ini digambarkan sebagai kasus heap buffer overflow yang berada dalam format gambar WebP yang dapat mengakibatkan eksekusi kode arbitrer atau crash,” tulis The Hacker News.

Rekayasa dan Arsitektur Keamanan Apple (SEAR) dan Citizen Lab di Munk School Universitas Toronto telah berjasa menemukan dan melaporkan kelemahan tersebut pada 6 September 2023.

Raksasa teknologi ini belum mengungkapkan rincian tambahan tentang sifat serangan tersebut, namun menyatakan bahwa mereka “sadar bahwa eksploitasi untuk CVE-2023-4863 ada di alam liar.”

Dengan perbaikan terbaru, Google telah mengatasi total empat kerentanan zero-day di Chrome sejak awal tahun ini:

• CVE-2023-2033 (CVSS score: 8.8) - Type Confusion in V8
• CVE-2023-2136 (CVSS score: 9.6) - Integer overflow in Skia
• CVE-2023-3079 (CVSS score: 8.8) - Type Confusion in V8

Perkembangan ini terjadi pada hari yang sama ketika Apple memperluas perbaikan untuk memulihkan CVE-2023-41064 untuk perangkat dan sistem operasi di bawah ini:

• iOS 15.7.9 dan iPadOS 15.7.9 - iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), dan iPod touch (generasi ke-7)
• macOS Big Sur 11.7.10 dan macOS Monterey 12.6.9

CVE-2023-41064 berkaitan dengan masalah buffer overflow pada komponen I/O Gambar yang dapat mengakibatkan eksekusi kode arbitrer saat memproses gambar perusak yang berbahaya.

Menurut Citizen Lab, CVE-2023-41064 dikatakan telah digunakan bersama dengan CVE-2023-41061, masalah validasi di Wallet, sebagai bagian dari rantai eksploitasi iMessage zero-click bernama BLASTPASS untuk menerapkan Pegasus secara penuh- iPhone yang ditambal yang menjalankan iOS 16.6.

Fakta bahwa CVE-2023-41064 dan CVE-2023-4863 bergantung pada pemrosesan gambar dan bahwa CVE-2023-41063 telah dilaporkan oleh Apple dan Citizen Lab menunjukkan bahwa mungkin ada hubungan potensial antara keduanya.

Pengguna disarankan untuk meningkatkan ke Chrome versi 116.0.5845.187/.188 untuk Windows dan 116.0.5845.187 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan jika sudah tersedia.[]