Perbaikan baru untuk browser Google Chrome adalah memperbaiki tujuh kerentanan keamanan kritis. Empat dari kerentanan ini disebut berisiko tinggi oleh Badan Keamanan & Infrastruktur Siber AS (CISA). Agensi meminta semua pengguna untuk mengunduh versi terbaru Chrome (v102.0.5005.115) agar tetap terlindungi.
Perbaikan Chrome baru tersedia untuk pengguna Windows, Mac, dan Linux yang terpengaruh oleh kerentanan ini
Menurut CISA, kerentanan di Chrome ini ada di browser versi Windows, Linux, dan Mac. Jadi pengguna yang mengaktifkan pembaruan otomatis untuk Chrome seharusnya sudah aman. Di antara kerentanan berisiko tinggi adalah CVE-2022-2007, CVE-2022-2008, CVE-2022-2010, dan CVE-2022-2011.
CVE-2022-2007 adalah UAF (Gunakan-After-Free) kerentanan hadir di WebGPU, memungkinkan penyerang untuk mengeksploitasi penggunaan memori dinamis yang salah selama operasi program dan akhirnya meretas program. Sementara itu, Google mendefinisikan CVE-2022-2008 sebagai “Akses memori di luar batas di WebGL.”
CVE-2022-2010 adalah kerentanan membaca di luar batas dalam browser. Kerentanan berisiko tinggi keempat, CVE-2022-2011, adalah kerentanan UAF dalam lapisan ekstraksi mesin grafis lintas platform (ANGLE).
Google tidak menawarkan gambaran lengkap tentang bagaimana penyerang dapat mengeksploitasi kerentanan. Hal ini sejalan dengan kebijakan perusahaan untuk tidak mengungkapkan semua detail tentang kerentanan berisiko tinggi sampai semua pengguna menginstal patch.
“Akses ke detail bug dan tautan dapat tetap dibatasi hingga sebagian besar pengguna diperbarui dengan perbaikan. Kami juga akan mempertahankan batasan jika bug ada di perpustakaan pihak ketiga yang bergantung pada proyek lain yang serupa, tetapi belum diperbaiki,” kata Google dalam entri blog (melalui ZDNet).
Penemuan CVE-2022-2010 berasal dari grup riset Google Project Zero. Lainnya datang dari peneliti independen, termasuk David Manouchehri, Tran Van Khang, dan SeongHwan Park. Sementara Manouchehri akan menerima hadiah $10.000 untuk mengidentifikasi CVE-2022-2007, jumlah hadiah untuk dua peneliti yang tersisa adalah “TBD.”
CISA menambahkan 36 kerentanan keamanan ke katalognya minggu lalu
Minggu lalu, Badan Keamanan Dunia Maya dan Infrastruktur (CISA) AS menambahkan 36 kerentanan keamanan baru ke dalam katalog panjangnya. Badan tersebut mengatakan celah ini sering menjadi vektor serangan dan dapat mengekspos individu pada”risiko signifikan”.
Kerentanan yang baru ditemukan ini dimiliki oleh berbagai kelompok perusahaan dan merek, termasuk Adobe, Cisco, Google, Microsoft, Netgear, dan QNAP, dll.
