Google telah mengeluarkan pembaruan mendesak untuk mengatasi kerentanan yang baru ditemukan di Chrome dan sedang dieksploitasi secara aktif, menandai kerentanan zero-day kedelapan yang teridentifikasi untuk browser tersebut pada tahun 2023.
Diidentifikasi sebagai CVE-2023-7024, Google mengatakan kerentanannya adalah kelemahan heap buffer overflow yang signifikan dalam modul WebRTC Chrome yang memungkinkan eksekusi kode jarak jauh (RCE).
WebRTC adalah inisiatif sumber terbuka yang memungkinkan komunikasi real-time melalui API, dan mendapat dukungan luas di antara pembuat browser terkemuka.
Bagaimana CVE-2023-7024 Mengancam Pengguna Chrome
Lionel Litty, kepala arsitek keamanan di Menlo Security, menjelaskan bahwa risiko eksploitasi adalah kemampuan untuk mencapai RCE dalam proses render. Artinya, pelaku kejahatan dapat menjalankan kode biner arbitrer di mesin pengguna, di luar sandbox JavaScript.
Namun, kerusakan sebenarnya bergantung pada penggunaan bug sebagai langkah pertama dalam rantai eksploitasi; itu perlu dikombinasikan dengan kerentanan sandbox escape di Chrome itu sendiri atau OS agar benar-benar berbahaya.
โKode ini masih di-sandbox karena arsitektur multiproses Chrome,โ kata Litty, โjadi hanya dengan kerentanan ini penyerang tidak dapat mengakses file pengguna atau mulai menyebarkan malware, dan pijakan mereka di mesin akan hilang ketika tab yang terkena dampak dinonaktifkan. tertutup."
Dia menunjukkan bahwa fitur Isolasi Situs Chrome umumnya akan melindungi data dari situs lain, sehingga penyerang tidak dapat menargetkan informasi perbankan korban, meskipun dia menambahkan ada beberapa peringatan halus di sini.
Misalnya, hal ini akan mengekspos asal target ke asal yang berbahaya jika mereka menggunakan situs yang sama: Dengan kata lain, sebuah malware.shared.com hipotetis dapat menargetkan korban.shared.com.
โMeskipun akses ke mikrofon atau kamera memerlukan persetujuan pengguna, akses ke WebRTC sendiri tidak memerlukannya,โ jelas Litty. โAda kemungkinan kerentanan ini dapat ditargetkan oleh situs web mana pun tanpa memerlukan masukan apa pun dari pengguna selain mengunjungi halaman berbahaya, jadi dari sudut pandang ini, ancamannya signifikan.โ
Aubrey Perin, analis intelijen ancaman utama di Qualys Threat Research Unit, mencatat bahwa jangkauan bug ini melampaui Google Chrome.
โEksploitasi Chrome terkait dengan keberadaannya โ bahkan Microsoft Edge pun menggunakan Chromium,โ katanya. โJadi, mengeksploitasi Chrome juga berpotensi menargetkan pengguna Edge dan memungkinkan pelaku kejahatan menjangkau lebih luas.โ
Dan perlu diperhatikan bahwa perangkat seluler Android yang menggunakan Chrome memiliki profil risikonya sendiri; mereka menempatkan beberapa situs dalam proses penyaji yang sama dalam beberapa skenario, terutama pada perangkat yang tidak memiliki banyak RAM.
Browser Tetap Menjadi Target Utama Serangan Siber
Vendor browser besar baru-baru ini melaporkan peningkatan jumlah bug zero-day โ Google sendiri yang melaporkannya lima sejak Agustus.
Apple, Microsoft, dan Firefox termasuk di antara perusahaan lain yang telah mengungkapkan a serangkaian kerentanan kritis di browser mereka, termasuk beberapa zero-day.
Joseph Carson, kepala ilmuwan keamanan dan Penasihat CISO di Delinea, mengatakan tidak mengherankan jika peretas dan penjahat dunia maya yang disponsori pemerintah menargetkan perangkat lunak populer, terus-menerus mencari kerentanan untuk dieksploitasi.
โHal ini biasanya mengarah pada permukaan serangan yang lebih besar karena penggunaan perangkat lunak secara luas, beragam platform, target bernilai tinggi, dan biasanya membuka pintu bagi serangan rantai pasokan,โ katanya.
Dia mencatat jenis kerentanan ini juga memerlukan waktu bagi banyak pengguna untuk memperbarui dan menambal sistem yang rentan.
โOleh karena itu, penyerang kemungkinan besar akan menargetkan sistem rentan ini selama beberapa bulan mendatang,โ kata Carson.
Dia menambahkan, โKarena kerentanan ini sedang dieksploitasi secara aktif, kemungkinan besar banyak sistem pengguna telah disusupi dan penting untuk dapat mengidentifikasi perangkat yang telah ditargetkan dan segera melakukan patch pada sistem tersebut.โ
Oleh karena itu, Carson mencatat, organisasi harus menyelidiki sistem sensitif yang memiliki kerentanan ini untuk menentukan risiko atau potensi dampak material.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :memiliki
- :adalah
- :bukan
- 2023
- 7
- a
- kemampuan
- Sanggup
- mengakses
- Mencapai
- aktif
- aktif
- aktor
- alamat
- Menambahkan
- laporan
- mengizinkan
- memungkinkan
- sendirian
- sudah
- juga
- Meskipun
- antara
- an
- analis
- dan
- android
- Apa pun
- Lebah
- arsitektur
- ADALAH
- AS
- At
- menyerang
- Serangan
- jauh
- Buruk
- Perbankan
- BE
- menjadi
- makhluk
- Luar
- Browser
- browser
- penyangga
- buffer overflow
- Bug
- bug
- by
- kamar
- CAN
- tidak bisa
- rantai
- kepala
- Chrome
- khrom
- CISO
- tertutup
- kode
- COM
- bergabung
- bagaimana
- Komunikasi
- Dikompromikan
- persetujuan
- terus-menerus
- bisa
- kritis
- Serangan cyber
- penjahat cyber
- kerusakan
- Berbahaya
- data
- penggelaran
- Menentukan
- Devices
- ditemukan
- do
- tidak
- Oleh
- dua
- Tepi
- Kedelapan
- antara
- memungkinkan
- melarikan diri
- terutama
- Bahkan
- contoh
- eksekusi
- Menjelaskan
- Mengeksploitasi
- eksploitasi
- dieksploitasi
- mengeksploitasi
- Meluas
- Fitur
- File
- Firefox
- Pertama
- cacat
- Untuk
- dari
- umumnya
- Pergi
- Google Chrome
- Pemerintah
- disponsori pemerintah
- Pertumbuhan
- hacker
- Memiliki
- he
- di sini
- HTML
- HTTPS
- diidentifikasi
- mengenali
- if
- Dampak
- dampak
- penting
- in
- Di lain
- Termasuk
- informasi
- Prakarsa
- memasukkan
- Intelijen
- menyelidiki
- isolasi
- Ditempatkan
- IT
- NYA
- Diri
- JavaScript
- jpg
- hanya
- lebih besar
- memimpin
- terkemuka
- Memimpin
- Mungkin
- Lot
- mesin
- Pembuat
- malware
- banyak
- menandai
- bahan
- cara
- mikropon
- Microsoft
- Microsoft Edge
- mobil
- telepon genggam
- Modul
- bulan
- beberapa
- kebutuhan
- tidak
- terkenal
- Catatan
- jumlah
- of
- on
- Buka
- open source
- membuka
- or
- organisasi
- asal
- OS
- Lainnya
- Lainnya
- di luar
- di luar
- sendiri
- halaman
- tambalan
- perspektif
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- poin
- Populer
- mungkin
- potensi
- berpotensi
- proses
- Profil
- melindungi
- menempatkan
- segera
- RAM
- mencapai
- nyata
- real-time
- baru-baru ini
- Pers
- tinggal
- terpencil
- Dilaporkan
- membutuhkan
- penelitian
- mengakibatkan
- Risiko
- risiko
- Run
- s
- Tersebut
- sama
- bak pasir
- mengatakan
- skenario
- ilmuwan
- mencari
- keamanan
- peka
- berbagi
- harus
- penting
- sejak
- situs web
- Situs
- So
- Perangkat lunak
- beberapa
- sumber
- Disponsori
- awal
- Langkah
- Masih
- menyediakan
- supply chain
- mendukung
- Permukaan
- mengherankan
- sistem
- Mengambil
- target
- ditargetkan
- target
- bahwa
- Grafik
- mereka
- Sana.
- karena itu
- Ini
- mereka
- ini
- itu
- meskipun?
- ancaman
- mengancam
- Melalui
- Terjalin
- waktu
- untuk
- puncak
- benar-benar
- jenis
- khas
- bawah
- satuan
- Memperbarui
- mendesak
- penggunaan
- menggunakan
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- biasanya
- vendor
- Korban
- Kerentanan
- kerentanan
- Rentan
- Situs Web
- ketika
- sementara
- lebih luas
- tersebar luas
- Liar
- akan
- dengan
- dalam
- tanpa
- kata
- akan
- zephyrnet.dll
