Setelah konfirmasi lima kerentanan serius minggu lalu, Google telah menerbitkan tulisan terbaru di blognya yang mengungkapkan adanya tujuh kerentanan dengan peringkat tertinggi kini telah ditemukan di Chrome. Kerentanan ini termasuk peretasan zero-day ke-14 dan ke-15 Chrome tahun ini dan semua pengguna os Linux, macOS, dan Windows semuanya terpengaruh.
Peretasan zero-day adalah eksploitasi yang telah mencapai peretas sebelum Google dapat mengeluarkan perbaikan, yang menempatkan semua pengguna Chrome dalam bahaya secara langsung. Inilah semua yang perlu Anda ketahui dan tindakan yang harus Anda ambil sekarang.
Kerentanan Baru Chrome
Berpegang pada kebijakannya, Google membatasi informasi tentang peretasan baru untuk mengulur waktu bagi pengguna Chrome untuk melakukan pembaharuan tetapi perusahaan itu terus mengatakan bahwa Google sadar bahwa eksploitasi untuk CVE-2021-38000 dan CVE-2021-38003 telah memasuki tahap tidak terkontrol. Berikut adalah daftar lengkap kerentanan Chrome baru:
- High – CVE-2021-37997 : Aktif setelah masuk gratis. Dilaporkan oleh Wei Yuan dari MoyunSec VLab pada 2021-10-14
- High – CVE-2021-37998 : Aktif setelah bebas di Garbage Collection. Dilaporkan oleh Cassidy Kim dari Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. pada 2021-10-13
- High – CVE-2021-37999 : Validasi data tidak mencukupi di Halaman Tab Baru. Dilaporkan oleh Ashish Arun Dhone pada 2021-09-21
- High – CVE-2021-38000 : Validasi input yang tidak tepercaya di Intent tidak mencukupi. Dilaporkan oleh Clement Lecigne, Neel Mehta, dan Maddie Stone dari Google Threat Analysis Group pada 2021-09-15
- High – CVE-2021-38001 : Sebuah jenis yang menimbulkan kebingungan di V8. Dilaporkan oleh Kunlun Lab melalui Tianfu Cup pada 2021-10-16
- High – CVE-2021-38002 : Aktif setelah gratis di Web Transport. Dilaporkan oleh @__R0ng dari 360 Alpha Lab, melalui Tianfu Cup pada 2021-10-16
- High – CVE-2021-38003 : Implementasi yang tidak tepat di V8. Dilaporkan oleh Clément Lecigne dari Google TAG dan Samuel Groß dari Google Project Zero pada 26-10-2020
Spesifikasinya tidak ada, tetapi pola peretasan akrab dengan eksploitasi ‘Use-After-Free’ (UAF) lagi-lagi merupakan mayoritas serangan yang berhasil. Eksploitasi UAF menghantam Chrome lebih dari 10x bulan lalu dan telah menjadi sumber peretasan zero-day di bulan Oktober juga. Kerentanan UAF adalah eksploitasi memori, ketika sebuah program gagal menghapus penunjuk ke memori setelah dibebaskan.
Eksploitasi V8 juga umum terjadi di samping kekurangan buffer overflow Heap. V8 adalah suatu mesin berbasis JavaScript open-source yang digunakan di Google Chrome dan browser web berbasis Chromium seperti Microsoft Edge, Opera, Amazon Silk, Brave, Yandex dan Vivaldi.
Apa yang kamu Perlu Lakukan?
Menurut forbes.com, Google telah merilis pembaruan Chrome penting untuk memerangi serangan ini, yaitu versi 95.0.4638.69. Berhati-hatilah, Google menyatakan bahwa peluncuran pembaruan ini akan membingungnkan pengguna dan diluncurkan dalam beberapa hari/minggu mendatang. Ini berarti Anda mungkin tidak dapat segera melindungi diri sendiri.
Untuk memeriksa apakah Anda dilindungi, navigasikan ke Pengaturan > Bantuan > Tentang Google Chrome. Jika browser Chrome Anda cocok dengan 95.0.4638.69 atau lebih tinggi, Anda aman. Jika pembaruan belum tersedia untuk browser Anda, pastikan Anda memeriksa versi baru secara teratur.
Dan ingat, setelah Anda memperbarui ada satu langkah terakhir yang penting: restart browser Anda. Meskipun Anda telah memperbarui, Chrome tidak akan terlindungi sampai Anda memulai ulang. Hal ini merupakan penghargaan bagi Google bahwa perbaikan untuk serangan tingkat tinggi biasanya dirilis dalam beberapa hari setelah ditemukan, tetapi keefektifannya masih bergantung pada miliaran pengguna yang memulai ulang browser mereka.
Selanjutnya, serangan terhadap Chrome semakin meningkat. Pada bulan Juli, Google mengungkapkan bahwa sudah ada lebih banyak eksploitasi browser zero-day daripada di seluruh tahun 2020. Artinya, sekarang penting untuk menjaga agar Chrome tetap up-to-date setiap saat. Pergi periksa versi chrome anda sekarang.(ra/hh)