Google Update Browser Chrome, Tambal Kelemahan Keamanan Baru
Ilustrasi. | Foto: The Hacker News
Cyberthreat.id - Google merilis pembaruan peranti lunak peramban web Chrome dan mendesak pengguna Windows, Mac, dan Linux segera memutakhirkan aplikasi ke versi terbaru yang tersedia.
Mulai diluncurkan di seluruh dunia pada hari Rabu (18 September), The Hacker News menyebutkan versi Chrome 77.0.3865.90 berisi tambalan keamanan untuk satu kerentanan keamanan kritis dan 3 risiko tinggi. “Yang paling parah di antaranya memungkinkan peretas jarak jauh mengambil kendali sistem yang terpengaruh,” tulis The Hacker News pada Kamis (19 September).
Disebutkan, Google memutuskan menjaga detail dari keempat kerentanan rahasia selama beberapa hari lagi untuk mencegah peretas mengeksploitasinya dan memberi pengguna cukup waktu untuk menginstal pembaruan Chrome.
Untuk saat ini, dikatakan tim keamanan Chrome hanya mengungkapkan bahwa keempat kerentanan tersebut adalah masalah use-after-free di berbagai komponen browser web, seperti yang disebutkan di bawah ini, yang kritis yang dapat menyebabkan serangan eksekusi kode jarak jauh.
The Hacker News menerangkan kerentanan use-after-free adalah masalah corruption memori atau modifikasi data dalam memori, memungkinkan pengguna yang tidak memiliki hak pribadi untuk meningkatkan hak istimewa pada sistem atau perangkat lunak yang terpengaruh.
Kerentanan Ditambal Oleh Chrome 77.0.3865.90
Menurut The Hacker News, Google membayar total $ 40.000 sebagai imbalan kepada Man Yue Mo dari Semmle untuk kedua kerentanan— $ 20.000 untuk CVE-2019-13687 dan $ 20.000 untuk CVE-2019-13688 — sedangkan bug untuk sisa dua kerentanan masih belum diputuskan.
Dijelaskan, eksploitasi kerentanan yang berhasil memungkinkan penyerang mengeksekusi kode arbitrer dalam konteks browser hanya dengan meyakinkan korban untuk hanya membuka, atau mengarahkannya ke halaman web yang dibuat secara khusus pada browser Chrome yang terpengaruh, tanpa memerlukan interaksi lebih lanjut .
Berdasarkan pengungkapan sebelumnya, cacat use-after-free juga dapat menyebabkan pengungkapan informasi sensitif, pembatasan keamanan bypass, tindakan yang tidak sah, dan menyebabkan kondisi penolakan layanan — tergantung pada hak istimewa yang terkait dengan aplikasi.
Meskipun Google Chrome secara otomatis memberi tahu pengguna tentang versi terbaru yang tersedia, pengguna disarankan untuk memicu proses pembaruan secara manual dengan masuk ke “Help → About Google Chrome” dari menu.
The Hacker News menjelaskan, “Selain itu, Anda juga disarankan untuk menjalankan semua perangkat lunak pada sistem Anda, jika memungkinkan, sebagai pengguna yang tidak memiliki hak istimewa untuk mengurangi efek dari serangan yang berhasil mengeksploitasi kerentanan zero-day.” []
