Google telah merilis pembaruan keamanan darurat untuk browser Chrome guna mengatasi kerentanan zero-day dengan tingkat keparahan tinggi yang ditandai sebagai dieksploitasi dalam serangan. Perbaikan ini terjadi hanya tiga hari setelah Google mengatasi kerentanan zero-day lainnya di Chrome, CVE-2024-4671, yang disebabkan oleh kelemahan use after free pada komponen Visual.
Bug terbaru dilacak sebagai CVE-2024-4761 dengan permasalahan penulisan di luar batas (out-of-bounds) yang berdampak pada mesin JavaScript V8 Chrome, yang bertanggung jawab untuk mengeksekusi kode JS dalam aplikasi. Masalah ini terjadi ketika sebuah program diizinkan untuk menulis data di luar array atau buffer yang ditentukan, yang berpotensi menyebabkan akses data yang tidak sah, eksekusi kode arbitrer, atau program crash.
Google memperbaiki kelemahan keamanan tersebut dengan merilis 124.0.6367.207/.208 untuk Mac/Windows dan 124.0.6367.207 untuk Linux. Pembaruan akan diluncurkan ke semua pengguna dalam beberapa hari/minggu mendatang. Untuk pengguna saluran ‘Extracted Stable’, perbaikan akan tersedia di versi 124.0.6367.207 untuk Mac dan Windows.
Chrome diperbarui secara otomatis saat pembaruan keamanan tersedia, namun pengguna dapat mengonfirmasi bahwa mereka menjalankan versi terbaru dengan membuka Setelan > Tentang Chrome, membiarkan pembaruan selesai, lalu mengeklik tombol ‘Luncurkan Ulang‘ untuk menerapkannya.
Zero-day Keenam Dieksploitasi dalam Serangan
Kerentanan Google Chrome terbaru ini merupakan kerentanan zero-day keenam yang ditemukan dan diperbaiki di browser web populer tersebut sejak awal tahun.
Google Chrome mencatat bahwa seorang peneliti anonim melaporkan kelemahan tersebut pada 9 Mei 2024, tetapi rincian lebih lanjut belum diungkapkan saat ini.
“Akses ke detail bug dan tautan mungkin tetap dibatasi hingga sebagian besar pengguna mendapatkan pembaruan dengan perbaikan. Kami juga akan mempertahankan batasan jika bug tersebut ada di library pihak ketiga yang juga diandalkan oleh proyek lain namun belum diperbaiki,” kata Google.
Kelemahan zero-day Chrome yang diperbaiki pada tahun 2024 sejauh ini meliputi:
- CVE-2024-0519: Kelemahan akses memori di luar batas (out-of-bounds) dengan tingkat keparahan tinggi dalam mesin JavaScript Chrome V8, memungkinkan penyerang jarak jauh mengeksploitasi kerusakan tumpukan melalui halaman HTML yang dibuat khusus, sehingga menyebabkan akses tidak sah ke informasi sensitif.
- CVE-2024-2887: Kerentanan confusion tipe tingkat keparahan tinggi dalam standar WebAssembly (Wasm). Hal ini dapat menyebabkan eksploitasi eksekusi kode jarak jauh (RCE) yang memanfaatkan halaman HTML buatan.
- CVE-2024-2886: Kerentanan penggunaan setelah bebas (use after free) di WebCodecs API yang digunakan oleh aplikasi web untuk menyandikan dan mendekode audio dan video. Penyerang jarak jauh mengeksploitasinya untuk melakukan pembacaan dan penulisan sewenang-wenang melalui halaman HTML yang dibuat, sehingga menyebabkan eksekusi kode jarak jauh.
- CVE-2024-3159: Kerentanan dengan tingkat keparahan tinggi yang disebabkan oleh pembacaan di luar batas (out-of-bounds) pada mesin JavaScript Chrome V8. Penyerang jarak jauh mengeksploitasi kelemahan ini dengan menggunakan halaman HTML yang dibuat khusus untuk mengakses data di luar buffer memori yang dialokasikan, sehingga mengakibatkan kerusakan tumpukan yang dapat dimanfaatkan untuk mengekstrak informasi sensitif.
- CVE-2024-4671: Kerentanan penggunaan setelah bebas (use after free) dengan tingkat keparahan tinggi pada komponen Visual yang menangani rendering dan tampilan konten di browser.
Sumber = BleepingComputer