Google telah merilis pembaruan keamanan untuk peramban Chrome untuk memperbaiki kerentanan zero-day kelima yang dieksploitasi di alam liar sejak awal tahun.
Masalah berkeamanan berkeparah tinggi yang dilacak sebagai CVE-2024-4671 adalah kerentanan “pengguna setelah bebas” di komponen Visuals yang menangani rendering dan tampilan konten pada peramban.
CVE-2024-4671 ditemukan dan dilaporkan kepada Google oleh seorang peneliti anonim, sementara perusahaan tersebut mengungkapkan bahwa kemungkinan sedang dieksploitasi secara aktif.
“Google mengetahui bahwa eksploitasi untuk CVE-2024-4671 ada di alam liar,” bunyi peringatan tanpa memberikan informasi tambahan.
Kerentanan use-after-free adalah kerentanan keamanan yang terjadi ketika sebuah program terus menggunakan sebuah penunjuk setelah memori yang ditunjuknya telah dibebaskan, setelah penyelesaian operasi yang sah di wilayah tersebut.
Karena memori yang dibebaskan sekarang bisa berisi data yang berbeda atau digunakan oleh perangkat lunak atau komponen lain, mengaksesnya bisa mengakibatkan kebocoran data, eksekusi kode, atau crash.
Google menangani masalah tersebut dengan merilis 124.0.6367.201/.202 untuk Mac/Windows dan 124.0.6367.201 untuk Linux, dengan pembaruan yang akan diluncurkan dalam beberapa hari/minggu ke depan.
Untuk pengguna saluran ‘Stabil Diperpanjang’, perbaikan akan tersedia dalam versi 124.0.6367.201 untuk Mac dan Windows, juga akan diluncurkan nanti.
Pembaruan Chrome secara otomatis ketika pembaruan keamanan tersedia, tetapi pengguna dapat mengonfirmasi bahwa mereka menjalankan versi terbaru dengan pergi ke Pengaturan > Tentang Chrome, membiarkan pembaruan selesai, dan kemudian mengklik tombol ‘Muat Ulang’ untuk menerapkannya.
Update
Kerentanan terbaru ini yang ditangani di Google Chrome adalah yang kelima tahun ini, dengan tiga lainnya ditemukan selama kontes peretasan Pwn2Own Maret 2024 di Vancouver.
Daftar lengkap kerentanan zero-day Chrome yang diperbaiki sejak awal 2024 juga mencakup yang berikut:
- CVE-2024-0519: Sebuah kelemahan akses memori di luar batas berkeparah tinggi dalam mesin JavaScript V8 Chrome, memungkinkan penyerang jarak jauh untuk mengeksploitasi korupsi heap melalui halaman HTML yang dirancang khusus, menyebabkan akses tidak sah ke informasi sensitif.
- CVE-2024-2887: Sebuah kelemahan kebingungan tipe berkeparah tinggi dalam standar WebAssembly (Wasm). Ini bisa mengarah ke eksploitasi eksekusi kode jarak jauh (RCE) dengan memanfaatkan halaman HTML yang dirancang khusus.
- CVE-2024-2886: Sebuah kerentanan use-after-free dalam API WebCodecs yang digunakan oleh aplikasi web untuk mengkodekan dan mendekode audio dan video. Penyerang jarak jauh mengeksploitasi hal ini untuk melakukan pembacaan dan penulisan sembarangan melalui halaman HTML yang dirancang khusus, mengarah ke eksekusi kode jarak jauh.
- CVE-2024-3159: Sebuah kerentanan berkeparah tinggi yang disebabkan oleh pembacaan di luar batas dalam mesin JavaScript V8 Chrome. Penyerang jarak jauh mengeksploitasi kerentanan ini menggunakan halaman HTML yang dirancang khusus untuk mengakses data di luar buffer memori yang dialokasikan, mengakibatkan korupsi heap yang dapat dimanfaatkan untuk mengekstrak informasi sensitif.