Google baru saja merilis pembaruan yang tidak terjadwal untuk mengatasi kerentanan zero-day yang diyakini telah dieksploitasi secara aktif oleh peretas di peramban Google Chrome. Ini adalah bug serius pertama tahun 2023 pada peramban terbesar di dunia berdasarkan pangsa pasar.
Kerentanan tersebut, yang diberi nama CVE-2023-2033, dilaporkan oleh Clement Lecigne dari Tim Analisis Ancaman (TAG) Google pada tanggal 11 April 2023. Google TAG adalah tim ahli yang bertugas mendeteksi dan melaporkan kerentanan zero-day yang dieksploitasi dalam serangan yang sangat tertarget dari aktor ancaman yang disponsori pemerintah .
Kerentanan ini tergolong parah, digambarkan sebagai masalah kebingungan tipe (type confusion) pada mesin JavaScript V8. Kebingungan tipe pada V8, yang ditemukan pada browser Google Chrome sebelum versi 112.0.5615.121, memungkinkan penyerang jarak jauh berpotensi mengeksploitasi kerentanan heap melalui halaman HTML yang dihasilkan.
Pengguna perlu segera memperbarui browser Chrome mereka.
Meskipun kerentanan ini biasanya memungkinkan penyerang untuk menyebabkan browser mengalami crash ketika berhasil dieksploitasi dengan membaca atau menulis data di luar batas buffer, peretas juga dapat mengeksekusi kode pada perangkat yang telah disusupi. Tingkat keparahan kerentanan ini yang tinggi menyebabkan Google menyatakan bahwa akses ke detail bug akan dibatasi hingga sebagian besar pengguna menerima patch tersebut.
Ada kemungkinan juga bahwa Google akan terus membatasi akses ke kerentanan keamanan ini karena kerentanan ini juga terdapat pada pustaka atau proyek pihak ketiga yang bergantung pada JavaScript V8 dan belum ditambal.
Pengguna peramban berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga harus menerapkan perbaikan tersebut segera setelah dirilis. Untuk memeriksa versi terbaru Google Chrome, dari peramban Anda, buka Chrome > Bantuan > Tentang Google Chrome.
Tautan sumber
Komentar (0)