Google telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day dengan tingkat keparahan yang tinggi, yang memungkinkan penyerang dapat mengeksekusi kode berbahaya (malicious code) pada perangkat komputer atau laptop pengguna. Ini merupakan langkah keamanan yang sangat penting bagi perusahaan, yang telah melaksanakan perbaikan ini untuk keselamatan pengguna sebanyak lima kali dalam setahun.
Kerentanan ini dipublikasikan sebagai CVE-2024-4671 dengan nama “penggunaan setelah gratis (use after free).” Kerentanan ini merupakan sebuah celah yang terjadi dalam bahasa pemrograman berbasis C. Dalam bahasa ini, pengembang harus mengalokasikan ruang memori yang diperlukan untuk menjalankan aplikasi atau operasi tertentu. Mereka melakukan ini dengan menggunakan “pointer” yang menyimpan alamat memori dimana data yang diperlukan akan berada. Karena ruang ini terbatas, lokasi memori harus dibatalkan alokasinya setelah aplikasi atau operasi tidak lagi memerlukannya.
Bug “use after free” terjadi ketika aplikasi atau proses gagal menghapus pointer setelah mengosongkan lokasi memori. Dalam beberapa kasus, pointer (ke memori yang dikosongkan) ini digunakan kembali dan menunjuk ke lokasi memori baru yang menyimpan kode shell berbahaya yang ditanam oleh eksploitasi penyerang, suatu kondisi yang akan mengakibatkan eksekusi pada kode ini.
Pada hari Kamis, Google mengatakan bahwa pelapor yang identitasnya anonim memberi tahu mereka tentang kerentanan tersebut. Kerentanan ini memiliki tingkat keparahan 8,8 dari 10 berdasarkan Common Vulnerability Scoring System (CVSS). Google mengatakan, mereka akan merilis versi 124.0.6367.201/.202 untuk macOS dan Windows dan 124.0.6367.201 untuk Linux di hari-hari berikutnya.
Google menyadari bahwa eksploitasi untuk CVE-2024-4671 memang ada namun pihaknya tidak memberikan rincian lain tentang eksploitasi tersebut, termasuk seperti platform apa yang menjadi target, siapa yang berada di balik eksploitasi tersebut, atau untuk apa mereka menggunakannya.
Dengan memperhitungkan kerentanan terbaru ini, Google telah memperbaiki lima zero-day di Chrome sepanjang tahun ini. Tiga dari yang sebelumnya digunakan oleh para peneliti dalam kontes eksploitasi Pwn-to-Own. Sisanya adalah untuk kerentanan yang eksploitasinya tersedia di luaran.
Bagaimana Cara Mengetahui Versi Chrome?
Chrome secara otomatis biasanya memperbarui ketika versi terbaru tersedia. Apabila tidak otomatis terupdate, Pengguna dapat memaksakan pembaruan. Untuk mengonfirmasi bahwa Pengguna menjalankan versi terbaru adalah dengan membuka Chrome pada perangkat yang terinstall kemudian pilih Pengaturan. Setelah itu pilih Tentang Chrome dan periksa versinya, atau bisa juga dilakukan dengan cara kunjungi alamat berikut ini chrome://settings/help dan klik “Periksa Update” Apabila versi yang dijalankan bukan merupakan versi terbaru, Pengguna dapat mengeklik Luncurkan Ulang.
Sumber = ArsTechnica