Pakar keamanan mendesak pengguna Chrome untuk segera menambal kerentanan zero-day yang baru

Apa yang baru saja terjadi? Google baru saja merilis pembaruan keamanan darurat untuk menambal kerentanan yang baru ditemukan di browser web Chrome. Eksploitasi buffer overflow ditemukan oleh Clément Lecigne, anggota Google Threat Analysis Group (TAG). Google telah mengakui masalah ini dan telah berjanji untuk menyembunyikan lebih banyak detail tentang kerentanan tersebut hingga tambalan tersebut dipublikasikan secara luas.

Kerentanan baru, diklasifikasikan sebagai CVE-2022-4135, adalah masalah buffer overflow di unit pemrosesan grafis (GPU) yang dapat menyebabkan pelaku jahat mendapatkan akses tidak sah ke informasi, atau menyebabkan ketidakstabilan aplikasi, Atau memberikan izin untuk mengeksekusi kode arbitrer pada mesin sasaran.

TAG Google telah mengakui kerentanan dalam pembaruan saluran stabil baru-baru ini yang diterbitkan untuk mencegah eksploitasi lebih lanjut. Insinyur Google telah memperbarui saluran stabil 107.0.5304.121 untuk sistem Mac dan Linux serta saluran 107.0.5304.121/.122 untuk sistem berbasis Windows. Daftar semua pembaruan terkait dan catatan rilis dapat ditemukan di log rilis Chromium.

Penemuan ini menandai kerentanan zero-day untuk raksasa perangkat lunak pada tahun 2022. Kerentanan yang sebelumnya ditambal meliputi:

Heap overflow dapat memberi penyerang kemampuan untuk menambah pointer fungsional dalam aplikasi, daripada mengarahkan mereka ke kode berbahaya yang diterapkan secara sewenang-wenang. Kondisinya adalah hasil dari buffer yang ditimpa di bagian tumpukan memori sistem.

Keputusan Google untuk tidak segera membagikan detail eksploit adalah praktik standar yang dimaksudkan untuk meminimalkan penggunaan dan dampak kerentanan. Dengan memperlambat pemahaman dan pemahaman detail kerentanan, pengguna memiliki lebih banyak waktu untuk menambal dan memperbarui browser mereka sebelum kerentanan dapat dieksploitasi. Ini juga memberi pengembang perpustakaan pihak ketiga yang sering digunakan dengan kemampuan untuk menambal kerentanan, membatasi kemungkinan eksploitasi.

“Akses ke detail bug dan tautan mungkin tetap dibatasi sampai mayoritas pengguna memperbarui dengan perbaikan. Kami juga akan mempertahankan pembatasan jika bug berada di perpustakaan pihak ketiga yang juga diandalkan oleh proyek lain, tetapi belum diperbaiki.” .” -Prudhvikumar Bommana

Pengguna Chrome disarankan untuk memperbarui browser mereka sesegera mungkin dan harus mengawasi browser berbasis Chromium lainnya untuk pembaruan serupa segera setelah dirilis.