Penting: Kerentanan Zero-Day Chrome Terbaru yang Dieksploitasi di Alam Liar – Upadate-ASAP
Cyberthreat.id - Google meluncurkan pembaruan keamanan untuk browser web Chrome untuk mengatasi kelemahan zero-day dengan tingkat keparahan tinggi yang dikatakan telah dieksploitasi secara liar.
Kerentanan tersebut, yang diberi pengidentifikasi CVE CVE-2023-7024, telah digambarkan sebagai bug buffer overflow berbasis heap dalam kerangka WebRTC yang dapat dieksploitasi untuk mengakibatkan crash program atau eksekusi kode arbitrer.
Clément Lecigne dan Vlad Stolyarov dari Google's Threat Analysis Group (TAG) dianggap telah menemukan dan melaporkan kelemahan tersebut pada 19 Desember 2023.
Tidak ada rincian lain tentang kelemahan keamanan yang dirilis untuk mencegah penyalahgunaan lebih lanjut, dan Google mengakui bahwa "eksploitasi untuk CVE-2023-7024 memang ada."
Mengingat WebRTC adalah proyek sumber terbuka dan juga didukung oleh Mozilla Firefox dan Apple Safari, saat ini tidak jelas apakah kelemahan tersebut berdampak pada browser berbasis Chrome dan Chromium.
Menurut The Hacker News, perkembangan tersebut menandai resolusi zero-day kedelapan yang dieksploitasi secara aktif di Chrome sejak awal tahun:
CVE-2023-2033 (CVSS score: 8.8) - Type confusion in V8
CVE-2023-2136 (CVSS score: 9.6) - Integer overflow in Skia
CVE-2023-3079 (CVSS score: 8.8) - Type confusion in V8
CVE-2023-4762 (CVSS score: 8.8) - Type confusion in V8
CVE-2023-4863 (CVSS score: 8.8) - Heap buffer overflow in WebP
CVE-2023-5217 (CVSS score: 8.8) - Heap buffer overflow in vp8 encoding in libvpx
CVE-2023-6345 (CVSS score: 9.6) - Integer overflow in Skia
Sebanyak 26,447 kerentanan telah terungkap sejauh ini pada tahun 2023, melampaui tahun sebelumnya dengan lebih dari 1,500 CVE, menurut data yang dikumpulkan oleh Qualys, dengan 115 kelemahan dieksploitasi oleh pelaku ancaman dan kelompok ransomware.
Eksekusi kode jarak jauh, bypass fitur keamanan, manipulasi buffer, eskalasi hak istimewa, dan validasi input serta kelemahan penguraian muncul sebagai jenis kerentanan teratas.
Pengguna disarankan untuk meningkatkan ke Chrome versi 120.0.6099.129/130 untuk Windows dan 120.0.6099.129 untuk macOS dan Linux untuk mengurangi potensi ancaman.
Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan jika sudah tersedia.[]