Google mengkonfirmasi berita itu dalam posting blog baru, di mana ia mengungkapkan Chrome telah menjadi korban serangan zero-day keenam belas tahun ini. Kerentanan zero-day adalah tempat peretas menemukan kelemahan keamanan sebelum perbaikan dapat dirilis.
Ini adalah jenis peretasan yang paling berbahaya dan pengguna pc Windows, Mac dan Linux semuanya terpengaruh. Google juga mengungkapkan telah menemukan empat kerentanan tingkat ancaman 'Tinggi' lebih lanjut. Sekarang basis pengguna Chrome yang berjumlah dua miliar orang perlu segera mengambil tindakan.
Untuk mengulur waktu bagi pengguna Chrome, Google saat ini membatasi informasi tentang semua serangan baru tetapi telah mengungkapkan di mana browsernya rentan dan menilai tingkat ancaman peretasan zero-day terbaru sebagai sangat berbahaya:
- Kritis - CVE-2021-4098: Validasi data tidak memadai di Mojo. Dilaporkan oleh Sergei Glazunov dari Google Project Zero pada 2021-10-26
- Tinggi - CVE-2021-4099: Gunakan setelah gratis di Swiftshader. Dilaporkan oleh Aki Helin dari Solita pada 21-11-16
- Tinggi - CVE-2021-4100: Masalah siklus hidup objek di ANGLE. Dilaporkan oleh Aki Helin dari Solita pada 2021-11-19
- Tinggi - CVE-2021-4101: Heap buffer overflow di Swiftshader. Dilaporkan oleh Abraruddin Khan dan Omair pada 2021-10-21
- Tinggi - CVE-2021-4102: Gunakan setelah gratis di V8. Dilaporkan oleh Anonymous pada 2021-12-09
Berita besarnya adalah peretasan zero-day ke-16 Chrome tidak mengikuti rute serangan populer yang telah ditetapkan sebelumnya. Penting juga untuk menunjukkan bahwa Mojo adalah komponen Chromium, yang berarti browser berbasis Chrome lainnya seperti Microsoft Edge, Amazon Silk, Brave, Opera, dan Samsung Internet kemungkinan akan terpengaruh juga.
Di tempat lain polanya dapat diprediksi. Eksploitasi 'Use-After-Free' (UAF) baru-baru ini menjadi mayoritas serangan Chrome, dengan hampir 40 kerentanan menggunakan metode ini sejak September. Kerentanan UAF adalah eksploitasi memori yang dibuat saat program gagal menghapus penunjuk ke memori setelah dibebaskan.
Cacat heap buffer overflow juga tetap menjadi rute serangan yang populer. Juga dikenal sebagai 'Heap Smashing', memori di heap dialokasikan secara dinamis dan biasanya berisi data program. Dengan overflow, struktur data penting dapat ditimpa yang menjadikannya target ideal bagi peretas.
Berita bagus? Sementara Chrome sekarang telah mengalami kerentanan zero-day ke-16, yang terakhir terjadi pada bulan Oktober, yang menunjukkan beberapa kemajuan yang mengesankan oleh Google dan mitra keamanannya dalam beberapa bulan terakhir.
Apa yang bisa Anda lakukan
Menanggapi ancaman ini, Google telah merilis versi baru Chrome: 96.0.4664.110. Google memperingatkan bahwa ini "akan diluncurkan dalam beberapa hari/minggu mendatang" yang berarti Anda mungkin tidak dapat segera melindungi diri sendiri.
Untuk memeriksa apakah Anda terlindungi, navigasikan ke Pengaturan > Bantuan > Tentang Google Chrome. Jika browser Chrome Anda terdaftar sebagai 96.0.4664.110 atau lebih tinggi, Anda aman. Jika pembaruan belum tersedia untuk browser Anda, penting bagi Anda untuk memeriksa versi baru secara teratur. Setelah browser Anda diperbarui, ingatlah untuk memulai ulang karena browser tidak dilindungi sampai ini terjadi. Ini adalah langkah penting yang dilupakan jutaan pengguna dan membuat mereka terbuka untuk diserang.
Jika Anda membutuhkan lebih banyak motivasi, pada bulan Juli Google mengkonfirmasi bahwa telah ada lebih banyak peretasan browser yang berhasil pada pertengahan 2021 daripada sepanjang tahun 2020. Jumlahnya terus bertambah, jadi periksa versi browser Anda sebagai hal berikutnya yang Anda lakukan. Lakukan sekarang juga.
Untuk Chrome Android dan iOS masih aman, karena telah menggunakan autentifikasi dua faktor. Namun jika fitur ini tidak Anda gunakan, bukan tidak mungkin akan mudah diretas ponsel Anda.
No comments:
Post a Comment