Google telah merilis pembaruan keamanan untuk browser web Chrome untuk memperbaiki kerentanan zero-day kedua yang ditemukan dieksploitasi dalam serangan tahun ini.
“Google menyadari bahwa eksploit untuk CVE-2023-2136 ada di alam liar,” bunyi buletin keamanan dari perusahaan.
Versi baru adalah 112.0.5615.137 dan memperbaiki total delapan kerentanan. Rilis stabil hanya tersedia untuk pengguna Windows dan Mac, dengan versi Linux akan diluncurkan “segera,” kata Google.
Untuk memulai prosedur pembaruan Chrome secara manual ke versi terbaru yang mengatasi masalah keamanan yang dieksploitasi secara aktif, buka menu pengaturan Chrome (pojok kanan atas) dan pilih Bantuan → Tentang Google Chrome.
Jika tidak, pembaruan diinstal saat browser dimulai lagi tanpa memerlukan campur tangan pengguna. Meluncurkan ulang aplikasi diperlukan untuk menyelesaikan pembaruan.
Tidak ada rincian eksploitasi
CVE-2023-2136 adalah kerentanan integer overflow tingkat tinggi di Skia, pustaka grafik 2D multi-platform sumber terbuka milik Google yang ditulis dalam C++.
Skia memberi Chrome satu set API untuk merender grafik, teks, bentuk, gambar, dan animasi, dan ini dianggap sebagai komponen kunci dari pipa rendering browser.
Bug luapan bilangan bulat terjadi saat operasi menghasilkan nilai yang melebihi nilai maksimum untuk jenis bilangan bulat tertentu, sering kali menyebabkan perilaku perangkat lunak yang tidak diharapkan atau memiliki implikasi keamanan.
Dalam konteks Skia, ini mungkin menyebabkan rendering yang salah, kerusakan memori, dan eksekusi kode arbitrer yang menyebabkan akses sistem tidak sah.
Kerentanan tersebut dilaporkan oleh Clément Lecigne dari Google Threat Analysis Group (TAG) awal bulan ini.
Mengikuti praktik standarnya saat memperbaiki kelemahan yang dieksploitasi secara aktif di Chrome, Google belum mengungkapkan banyak detail tentang bagaimana CVE-2023-2136 digunakan dalam serangan, membiarkan spekulasi metode eksploitasi dan risiko terkait terbuka.
Ini untuk memungkinkan pengguna memperbarui perangkat lunak mereka ke versi yang lebih aman sebelum membagikan detail teknis yang memungkinkan pelaku ancaman mengembangkan eksploit mereka sendiri.
“Akses ke detail bug dan tautan mungkin tetap dibatasi sampai mayoritas pengguna diperbarui dengan perbaikan,” bunyinya buletin keamanan.
“Kami juga akan mempertahankan batasan jika bug ada di perpustakaan pihak ketiga yang juga bergantung pada proyek lain, tetapi belum diperbaiki” – Google
Jumat lalu, Google merilis pembaruan Chrome darurat lainnya perbaiki CVE-2023-2033kerentanan pertama yang dieksploitasi secara aktif di browser yang ditemukan pada tahun 2023.
Cacat ini biasanya dimanfaatkan oleh pelaku ancaman tingkat lanjut, yang sebagian besar disponsori oleh negara, yang menargetkan individu terkenal yang bekerja di pemerintahan, media, atau organisasi penting lainnya. Oleh karena itu, disarankan agar semua pengguna Chrome segera menerapkan pembaruan yang tersedia.
