Chrome dan Firefox Tambal Kerentanan Serius
Ilustrasi
Cyberthreat.id - Google melakukan total 32 perbaikan keamanan di Chrome 81 yang akhirnya dirilis ke versi stabil. Langkah ini diambil Google setelah pandemi Covid-19 sempat memaksa raksasa internet itu untuk menunda rilis versi stabil.
Dua puluh tiga (23) tambalan yang diperbaiki merupakan laporan dari peneliti keamanan eksternal, termasuk tiga (3) kelemahan berisiko tinggi (high-risk), delapan (8) masalah dengan tingkat keparahan sedang (medium-risk), serta dua belas (12) bug berisiko rendah (low-risk).
Yang paling parah adalah kerentanan Use-After-Free di ekstensi (CVE-2020-6454). Kerentanan ini dilaporkan tahun lalu. Dua kelemahan berisiko tinggi (high-risk) lainnya adalah use-after-free (CVE-2020-6423) dan out-of-bounds yang dibaca di WebSQL (CVE-2020-6455).
Separuh dari masalah pada tingkat keparahan sedang (medium-risk) adalah terkait bug penegakan kebijakan (policy enforcement) yang tidak memadai, sementara yang lain adalah tipe kebingungan (confusion) pada V8, validasi input yang tidak dipercaya di clipboard, Use-After-Free di devtools, dan Use-After-Free di manajemen Windows.
Sebagian besar bug dengan tingkat keparahan rendah (low-risk) juga terkait policy enforcement yang tidak memadai, dilengkapi dengan beberapa implementasi yang tidak sesuai, penggunaan yang tidak diinisialisasi di WebRTC, dan Use-After-Free di V8.
Google mengatakan telah merogoh kocek lebih dari 26 ribu USD sebagai imbalan kepada para peneliti keamanan yang memberikan laporan, tetapi Google enggan mengungkapkan nominal yang diberikan untuk semua kerentanan yang dilaporkan dari eksternal.
Mozilla yang meninjau kembali keputusan sebelumnya untuk menonaktifkan TLS 1.0 dan 1.1 di web browser-nya, pekan ini mendorong Firefox 75 ke versi stabil. Dikemas dengan enam (6) tambalan keamanan untuk desktop dan dua (2) tambalan yang menargetkan kerentanan khusus untuk platform Android.
Tiga kerentanan tingkat keparahan tinggi (high-risk) ditangani di Firefox 75, dua di antaranya (CVE-2020-6825 dan CVE-2020-6826) dapat menyebabkan eksekusi kode arbitrer. Dari dua kelemahan berisiko tinggi yang secara khusus menargetkan Firefox untuk Android, satu (CVE-2020-6828) dapat menyebabkan eksekusi kode arbitrer juga.
Dua (2) bug berisiko tinggi lainnya dapat dieksploitasi untuk membocorkan data sensitif (CVE-2020-6821) atau untuk memperdayai browser di seluler agar menampilkan URI yang salah (CVE-2020-6827).
Tiga (3) kerentanan lainnya memiliki peringkat tingkat keparahan sedang (medium-risk), tetapi salah satunya (CVE-2020-6822) dapat menyebabkan eksekusi kode juga. Dua bug lainnya memungkinkan ekstensi jahat untuk mendapatkan kode Auth untuk akun pengguna dengan penyedia layanan (CVE-2020-6823), atau menghasilkan password yang dihasilkan untuk situs yang sama agar identik antara sesi penelusuran pribadi yang terpisah (CVE- 2020-6824).
"Awalnya, pengguna membuka Jendela Penjelajahan Pribadi (private browsing window) dan membuat password untuk sebuah situs, kemudian menutup private browsing window, tetapi membiarkan Firefox tetap terbuka. Selanjutnya, jika pengguna telah membuka private browsing window yang baru, mengunjungi kembali situs yang sama, dan menghasilkan password baru - password yang dihasilkan akan identik, bukan independen," tulis Mozilla dilansir Security Week, Kamis (9 April 2020).
