Pakar Merinci Kerentanan RCE Baru yang Mempengaruhi Saluran Pengembang Google Chrome

  • Bagikan
chrome zero-day vulnerability

Beritaini.top Pakar Merinci Kerentanan RCE Baru yang Mempengaruhi Saluran Pengembang Google Chrome

kerentanan chrome zero-day

Detail telah muncul tentang kerentanan eksekusi kode jarak jauh kritis yang baru-baru ini ditambal di JavaScript V8 dan mesin WebAssembly yang digunakan di Google Chrome dan browser berbasis Chromium.

Masalah ini berkaitan dengan kasus penggunaan-setelah-bebas dalam komponen pengoptimalan instruksi, eksploitasi yang berhasil dapat “memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks browser.”

Cacatnya, yang diidentifikasi dalam versi saluran Dev Chrome 101, dilaporkan ke Google oleh Weibo Wang, seorang peneliti keamanan di perusahaan keamanan siber Singapura Teknologi Cyber ​​Numen dan sejak itu diam-diam diperbaiki oleh perusahaan.

Keamanan cyber

“Kerentanan ini terjadi pada tahap pemilihan instruksi, di mana instruksi yang salah telah dipilih dan mengakibatkan pengecualian akses memori,” Wang berkata.

Cacat penggunaan-setelah-bebas terjadi ketika memori yang sebelumnya dibebaskan diakses, menyebabkan perilaku tidak terdefinisi dan menyebabkan program macet, menggunakan data yang rusak, atau bahkan mencapai eksekusi kode arbitrer.

Yang lebih memprihatinkan adalah bahwa kelemahan tersebut dapat dieksploitasi dari jarak jauh melalui situs web yang dirancang khusus untuk melewati batasan keamanan dan menjalankan kode arbitrer untuk mengkompromikan sistem yang ditargetkan.

kerentanan chrome zero-day

“Kerentanan ini dapat dieksploitasi lebih lanjut dengan menggunakan teknik penyemprotan tumpukan, dan kemudian mengarah pada kerentanan ‘kebingungan tipe’,” jelas Wang. “Kerentanan memungkinkan penyerang untuk mengontrol pointer fungsi atau menulis kode ke lokasi sewenang-wenang di memori, dan akhirnya mengarah pada eksekusi kode.”

Perusahaan belum mengungkapkan kerentanan melalui Pelacak bug Chromium portal untuk memberi sebanyak mungkin pengguna untuk menginstal versi yang ditambal terlebih dahulu. Selain itu, Google tidak menetapkan ID CVE untuk kerentanan yang ditemukan di saluran Chrome yang tidak stabil.

Keamanan cyber

Pengguna Chrome, terutama pengembang yang menggunakan Chrome edisi Dev untuk pengujian guna memastikan bahwa aplikasi mereka kompatibel dengan fitur Chrome terbaru dan perubahan API, harus memperbarui ke versi perangkat lunak terbaru yang tersedia.

kerentanan chrome zero-day
Instruksi perakitan TurboFan setelah kerentanan ditambal

Ini bukan pertama kalinya kerentanan penggunaan-setelah-bebas ditemukan di V8. Google pada tahun 2021 mengatasi tujuh bug seperti itu di Chrome yang telah dieksploitasi dalam serangan dunia nyata. Tahun ini, ia juga memperbaiki kerentanan penggunaan-setelah-bebas yang dieksploitasi secara aktif di komponen Animasi.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.