Google Patches Zero-Day Cacat di Chrome Dalam Serangan Aktif

Google telah mengumumkan bahwa pembaruan yang dirilis ke saluran stabil Chrome - versi 72.0.3626.121 - minggu lalu sebenarnya merupakan patch untuk cacat zero-day yang sedang dieksploitasi di alam liar. Changelog asli perusahaan sengaja melewatkan informasi tentang kerentanan karena perusahaan sedang menunggu pengguna untuk menerapkan pembaruan. Dalam pengumuman yang direvisi pada hari Selasa, perusahaan mencatat bahwa pembaruan Chrome 72.0.3626.121 termasuk perbaikan untuk kerentanan prioritas tinggi CVE-2019-5786 yang dilaporkan oleh Clement Lecigne dari Grup Analisis Ancaman Google pada akhir Februari.

"Google mengetahui adanya laporan bahwa eksploitasi untuk CVE-2019-5786 ada di alam bebas," tulis Abdul Syed dari tim Google Chrome dalam sebuah posting blog. "Kami juga ingin mengucapkan terima kasih kepada semua peneliti keamanan yang bekerja bersama kami selama siklus pengembangan untuk mencegah bug keamanan dari mencapai saluran stabil."



Menurut penasehat ancaman, kerentanan CVE-2019-5786 ada karena kondisi penggunaan-setelah-gratis di FileReader Google Chrome, yang merupakan API yang memungkinkan aplikasi web untuk mengakses file yang disimpan di komputer Anda. Pada dasarnya, kerentanan dikatakan membiarkan kode berbahaya keluar dari kotak pasir keamanan Chrome, memungkinkan penyerang menjalankan kode berbahaya di mesin korban. Bergantung pada hak istimewa yang diberikan kepada Chrome, penyerang dapat menginstal program; melihat, mengubah, atau menghapus data; atau buat akun baru.

Disarankan agar semua pengguna segera memperbarui browser Web Chrome di komputer mereka dan memastikan bahwa mereka menjalankan Chrome tanpa hak admin.

Penilaian risiko kerentanan dikatakan tinggi untuk institusi dan bisnis pemerintah, sedangkan risiko penyerang mengeksploitasi kerentanan rendah untuk pengguna rumahan.