Google Chrome Serangan 0Day - Perbarui Browser Anda Sekarang

Perhatian ! ! ! , jika Anda menggunakan browser Google Chrome di komputer Windows, Mac, atau Linux, Anda perlu segera memperbarui perangkat lunak penjelajahan web ke versi terbaru yang dirilis Google hari ini.

Google merilis Chrome versi 86.0.4240.111 hari ini untuk menambal beberapa masalah keamanan dengan tingkat keparahan tinggi, termasuk kerentanan zero-day yang telah dieksploitasi di alam liar oleh penyerang untuk membajak komputer yang ditargetkan.

Dilacak sebagai CVE-2020-15999, kerentanan yang dieksploitasi secara aktif adalah jenis cacat kerusakan memori yang disebut heap buffer overflow di Freetype, pustaka pengembangan perangkat lunak sumber terbuka yang populer untuk merender font yang dikemas dengan Chrome.

Kerentanan tersebut ditemukan dan dilaporkan oleh peneliti keamanan Sergei Glazunov dari Google Project Zero pada 19 Oktober dan tunduk pada batas waktu pengungkapan publik selama tujuh hari karena kesalahan tersebut sedang dalam eksploitasi aktif.

Glazunov juga segera melaporkan kerentanan zero-day kepada pengembang FreeType, yang kemudian mengembangkan tambalan darurat untuk mengatasi masalah tersebut pada 20 Oktober dengan merilis FreeType 2.10.4.

Tanpa mengungkapkan detail teknis tentang kerentanan, pimpinan teknis untuk Project Zero Ben Hawkes Google memperingatkan di Twitter bahwa meskipun tim tersebut hanya melihat eksploitasi yang menargetkan pengguna Chrome, ada kemungkinan bahwa proyek lain yang menggunakan FreeType juga rentan dan disarankan untuk diterapkan. perbaikan termasuk dalam FreeType versi 2.10.4.

"Meskipun kami hanya melihat exploit untuk Chrome, pengguna freetype lainnya harus mengadopsi perbaikan yang dibahas di sini: https://savannah.nongnu.org/bugs/?59308 - perbaikan juga ada dalam rilis stabil FreeType 2.10.4 hari ini , "Tulis Hawkes.

Menurut detail yang dibagikan oleh Glazunov, kerentanan ada di fungsi FreeType "Load_SBit_Png," yang memproses gambar PNG yang disematkan ke font. Itu dapat dimanfaatkan oleh penyerang untuk mengeksekusi kode arbitrer hanya dengan menggunakan font yang dibuat khusus dengan gambar PNG yang disematkan.

"Masalahnya adalah libpng menggunakan nilai asli 32-bit, yang disimpan dalam` png_struct`. Oleh karena itu, jika lebar dan / atau tinggi asli lebih besar dari 65535, buffer yang dialokasikan tidak akan dapat memuat bitmap, Glazunov menjelaskan.

Glazunov juga menerbitkan file font dengan eksploitasi bukti konsep.

Google merilis Chrome 86.0.4240.111 sebagai versi "stabil" Chrome, yang tersedia untuk semua pengguna, tidak hanya untuk mengikutsertakan pengguna awal, mengatakan bahwa perusahaan mengetahui laporan bahwa "eksploitasi untuk CVE-2020-15999 ada di liar, "tetapi tidak mengungkapkan rincian lebih lanjut dari serangan aktif tersebut.

Selain kerentanan zero-day FreeType, Google juga memperbaiki empat kelemahan lain dalam pembaruan Chrome terbaru, tiga di antaranya adalah kerentanan berisiko tinggi — bug implementasi yang tidak tepat di Blink, penggunaan setelah bug gratis di media Chrome, dan penggunaan setelah bug gratis dalam PDFium — dan satu penggunaan berisiko menengah setelah masalah gratis dalam fungsi pencetakan browser.

Meskipun browser web Chrome secara otomatis memberi tahu pengguna tentang versi terbaru yang tersedia, pengguna disarankan untuk memicu proses pembaruan secara manual dengan membuka "Bantuan → Tentang Google Chrome" dari menu.

Source : https://thehackernews.com/2020/10/chrome-zeroday-attacks.html 

Keyoword Search 

0day exploit

0day attack 

Hacker

Hacking

Ransomware

Botnet 

Hacker News 

Google chrome