Web browser Google Chrome kembali menghadapi ancaman. Perusahaan teknologi raksasa itu baru saja merilis pembaruan keamanan untuk mengatasi kerentanan “zero-day” yang kelima kalinya di tahun 2024. Kerentanan ini ditemukan dan dieksploitasi secara aktif oleh para hacker.
Celah keamanan yang diberi kode CVE-2024-4671 ini dikategorikan sebagai masalah “use-after-free” yang serius. Masalah ini terjadi pada komponen Visuals Chrome, bagian yang bertanggung jawab untuk menampilkan konten pada peramban.
Google tidak memberikan informasi detail mengenai serangan yang memanfaatkan celah ini. Namun, mereka mengimbau pengguna untuk segera memperbarui Chrome ke versi 124.0.6367.201 (Mac/Windows) atau 124.0.6367.201 (Linux) untuk mendapatkan perlindungan.
Pembaruan Chrome biasanya berjalan secara otomatis. Namun, pengguna bisa memeriksanya secara manual melalui menu Pengaturan > Tentang Chrome. Setelah pembaruan selesai, pengguna perlu menekan tombol “Mulai Ulang” untuk mengaktifkan pembaruan tersebut.
Ini bukan pertama kalinya Chrome menghadapi serangan “zero-day” tahun ini. Sebelumnya, pada kompetisi hacking Pwn2Own di Vancouver bulan Maret 2024, terungkap tiga kerentanan serupa.
Selain CVE-2024-4671, berikut daftar lengkap kerentanan “zero-day” Chrome yang telah ditambal sejak awal 2024:
- CVE-2024-0519: Kelemahan akses memori di luar batas pada mesin JavaScript V8 Chrome, memungkinkan penyerang jarak jauh mengeksploitasi kerusakan memori melalui halaman HTML yang dibuat khusus, sehingga berisiko terjadi pencurian informasi sensitif.
- CVE-2024-2887: Celah “type confusion” pada standar WebAssembly (Wasm), berpotensi dieksploitasi menjadi serangan “remote code execution” (RCE) menggunakan halaman HTML yang dirancang khusus.
- CVE-2024-2886: Masalah “use-after-free” pada WebCodecs API yang digunakan aplikasi web untuk mengodekan dan mendekode audio dan video. Penyerang jarak jauh memanfaatkannya untuk melakukan pembacaan dan penulisan data secara acak melalui halaman HTML yang dibuat khusus, berujung pada eksekusi kode jarak jauh.
- CVE-2024-3159: Kerentanan serius yang disebabkan oleh pembacaan di luar batas pada mesin JavaScript V8 Chrome. Penyerang jarak jauh mengeksploitasi kelemahan ini menggunakan halaman HTML yang dibuat khusus untuk mengakses data di luar buffer memori yang dialokasikan, berpotensi menyebabkan kerusakan memori yang dapat dimanfaatkan untuk mencuri informasi sensitif.
Para pengguna Chrome disarankan untuk selalu memperbarui browser-nya ke versi terbaru untuk memastikan keamanan perangkat dan data mereka.
Sumber: BleepingComputer
