Pembetulan baharu untuk penyemak imbas Google Chrome sedang membetulkan tujuh kelemahan keselamatan kritikal. Empat daripada kelemahan ini dinamakan berisiko tinggi oleh Agensi Keselamatan Siber & Infrastruktur (CISA) A.S. Agensi itu meminta semua pengguna memuat turun lelaran terbaharu Chrome (v102.0.5005.115) untuk memastikan diri mereka dilindungi.
Pembetulan Chrome baharu tersedia untuk pengguna Windows, Mac dan Linux yang terjejas oleh kelemahan ini
Menurut CISA, kelemahan pada Chrome ini terdapat pada penyemak imbas versi Windows, Linux dan Mac. Jadi pengguna yang telah mendayakan kemas kini automatik untuk Chrome seharusnya sudah selamat. Antara kerentanan berisiko tinggi ialah CVE-2022-2007, CVE-2022-2008, CVE-2022-2010 dan CVE-2022-2011.
CVE-2022-2007 ialah UAF (Gunakan-After-Free) terdapat kelemahan dalam WebGPU, membolehkan penyerang mengeksploitasi penggunaan memori dinamik yang salah semasa operasi program dan akhirnya menggodam program. Sementara itu, Google mentakrifkan CVE-2022-2008 sebagai”Akses memori di luar sempadan dalam WebGL.”
CVE-2022-2010 ialah kerentanan bacaan di luar sempadan dalam penyemak imbas. Kerentanan berisiko tinggi keempat, CVE-2022-2011, ialah kerentanan UAF dalam lapisan pengekstrakan enjin grafik merentas platform (ANGLE).
Google tidak menawarkan gambaran penuh tentang cara penyerang boleh mengeksploitasi kelemahan itu. Ini selaras dengan dasar syarikat untuk tidak mendedahkan semua butiran tentang kerentanan berisiko tinggi sehingga semua pengguna memasang tampung.
“Akses kepada butiran pepijat dan pautan mungkin dikekalkan terhad sehingga majoriti pengguna dikemas kini dengan pembetulan. Kami juga akan mengekalkan sekatan jika pepijat wujud dalam perpustakaan pihak ketiga yang mana projek lain juga bergantung padanya, tetapi masih belum dibetulkan,” kata Google dalam siaran blog (melalui ZDNet).
Penemuan CVE-2022-2010 datang daripada kumpulan penyelidikan Google Project Zero. Yang lain datang daripada penyelidik bebas, termasuk David Manouchehri, Tran Van Khang, dan SeongHwan Park. Walaupun Manouchehri akan menerima hadiah sebanyak $10,000 untuk mengenal pasti CVE-2022-2007, jumlah ganjaran untuk dua penyelidik yang tinggal ialah “TBD.”
CISA menambah 36 kelemahan keselamatan pada katalognya minggu lepas
Minggu lepas, Agensi Keselamatan Siber dan Infrastruktur (CISA) A.S. menambah 36 kelemahan keselamatan baharu pada katalognya yang panjang. Agensi itu berkata kelemahan ini adalah vektor serangan yang kerap dan boleh mendedahkan individu kepada”risiko yang ketara.”
Kerentanan yang baru ditemui ini tergolong dalam kumpulan syarikat dan jenama yang pelbagai, termasuk Adobe, Cisco, Google, Microsoft, Netgear, dan QNAP, dsb.
