Perbarui Chrome Sekarang: Google Merilis Patch untuk Kerentanan Zero-Day yang Dieksploitasi Secara Aktif

By Admin in Peringatan Keamanan

Peringatan Keamanan
Google pada hari Rabu meluncurkan perbaikan untuk mengatasi zero-day baru yang dieksploitasi secara aktif di browser Chrome. 

Dilacak sebagai  CVE-2023-5217 , kerentanan dengan tingkat keparahan tinggi telah digambarkan sebagai  buffer overflow berbasis tumpukan dalam format kompresi VP8 di  libvpx perangkat lunak gratis  , perpustakaan codec video dari Google dan Alliance for Open Media (AOMedia). 

Eksploitasi kelemahan buffer overflow dapat mengakibatkan crash program atau eksekusi kode arbitrer, yang berdampak pada ketersediaan dan integritasnya. 

Clément Lecigne dari Grup Analisis Ancaman (TAG) Google telah dipuji karena menemukan dan melaporkan kelemahan tersebut pada tanggal 25 September 2023, dan rekan peneliti Maddie Stone  mencatat di X (sebelumnya Twitter) bahwa kelemahan tersebut telah disalahgunakan oleh vendor spyware komersial untuk menargetkan tingkat tinggi -individu yang berisiko. 

Tidak ada rincian lebih lanjut yang diungkapkan oleh raksasa teknologi tersebut selain pengakuan bahwa mereka “sadar bahwa eksploitasi untuk CVE-2023-5217 ada di alam liar.”
Penemuan terbaru ini menambah jumlah kerentanan zero-day di Google Chrome yang patchnya telah dirilis tahun ini menjadi lima - 


Pembuat spyware Israel, Cytrox, juga diduga  telah mengeksploitasi kerentanan Chrome yang baru saja ditambal (CVE-2023-4762, skor CVSS: 8.8) sebagai zero-day untuk menghadirkan Predator, meskipun saat ini sangat sedikit informasi yang tersedia tentang malware tersebut. -serangan liar. 

Perkembangan ini terjadi ketika Google menetapkan pengenal CVE baru,  CVE-2023-5129 , pada kelemahan kritis pada pustaka gambar libwebp – awalnya dilacak sebagai  CVE-2023-4863 – yang telah dieksploitasi secara aktif di alam liar, mengingat serangannya yang luas. permukaan. 

Pengguna disarankan untuk meningkatkan ke Chrome versi 117.0.5938.132 untuk Windows, macOS, dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan jika sudah tersedia.

Pembaruan

Mozilla pada hari Kamis  merilis pembaruan Firefox untuk memperbaiki CVE-2023-5217, dengan menyatakan bahwa "penanganan khusus terhadap aliran media VP8 yang dikendalikan penyerang dapat menyebabkan heap buffer overflow dalam proses konten." Masalah ini telah teratasi di versi Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus untuk Android 118.1, dan Firefox untuk Android 118.1.
Back to Posts