Chrome memperbaiki hari ke-8 tahun 2022 – periksa versi Anda sekarang

Google baru saja menambal Chrome kedelapan lubang nol hari tahun sejauh ini.

Zero-days adalah bug yang tidak ada hari yang dapat Anda perbarui secara proaktif…

…karena penjahat dunia maya tidak hanya menemukan bug terlebih dahulu, tetapi juga menemukan cara mengeksploitasinya untuk tujuan jahat sebelum tambalan disiapkan dan diterbitkan.

Jadi, versi cepat dari artikel ini adalah: buka Chrome Menu tiga titik (⋮), pilih Bantuan > Tentang Chrome, dan periksa apakah Anda memiliki versi 107.0.5304.121 atau nanti.

Mengungkap zero-days

Dua dekade lalu, zero-days sering dikenal luas dengan sangat cepat, biasanya karena satu (atau keduanya) dari dua alasan:

• Virus atau worm yang menyebar sendiri dirilis untuk mengeksploitasi bug. Hal ini cenderung tidak hanya untuk menarik perhatian ke lubang keamanan dan bagaimana itu disalahgunakan, tetapi juga untuk memastikan bahwa salinan kode berbahaya yang berfungsi sendiri dan diledakkan jauh dan luas untuk dianalisis oleh para peneliti.
• Pemburu bug yang tidak termotivasi untuk menghasilkan uang merilis kode sampel dan membual tentangnya. Paradoksnya, mungkin, ini secara bersamaan merusak keamanan dengan memberikan "hadiah gratis" kepada penjahat dunia maya untuk segera digunakan dalam serangan, dan membantu keamanan dengan menarik peneliti dan vendor untuk memperbaikinya, atau mencari solusi, dengan cepat.

Hari-hari ini, permainan zero-day agak berbeda, karena pertahanan kontemporer cenderung membuat kerentanan perangkat lunak lebih sulit untuk dieksploitasi.

Lapisan pertahanan saat ini meliputi: perlindungan tambahan yang dibangun ke dalam sistem operasi itu sendiri; alat pengembangan perangkat lunak yang lebih aman; bahasa pemrograman dan gaya pengkodean yang lebih aman; dan alat pencegahan ancaman siber yang lebih kuat.

Di awal tahun 2000-an, misalnya – era penyebaran virus super cepat seperti Kode merah dan SQL Slammer – hampir semua stack buffer overflow, dan banyak jika tidak sebagian besar buffer overflows, dapat diubah dari kerentanan teoretis menjadi eksploit yang dapat dipraktikkan dalam urutan cepat.

Dengan kata lain, menemukan exploit dan "menjatuhkan" 0-hari kadang-kadang hampir sesederhana menemukan bug yang mendasarinya.

Dan dengan banyak pengguna yang menjalankannya Administrator hak istimewa sepanjang waktu, baik di tempat kerja maupun di rumah, penyerang jarang perlu menemukan cara untuk menghubungkan eksploitasi bersama untuk mengambil alih komputer yang terinfeksi sepenuhnya.

Namun di tahun 2020-an, bisa diterapkan eksploitasi eksekusi kode jarak jauh – bug (atau rangkaian bug) yang dapat digunakan penyerang dengan andal untuk menanamkan malware di komputer Anda hanya dengan memikat Anda untuk melihat satu halaman di situs web jebakan, misalnya – umumnya jauh lebih sulit ditemukan, dan sangat berharga lebih banyak uang di cyberunderground sebagai hasilnya.

Sederhananya, mereka yang mendapatkan eksploitasi zero-day akhir-akhir ini cenderung tidak menyombongkannya lagi.

Mereka juga cenderung untuk tidak menggunakannya dalam serangan yang akan membuat "bagaimana dan mengapa" intrusi menjadi jelas, atau yang akan menyebabkan contoh kerja dari kode eksploit tersedia untuk analisis dan penelitian.

Akibatnya, zero-days sering diketahui akhir-akhir ini hanya setelah tim respons ancaman dipanggil untuk menyelidiki serangan yang telah berhasil, tetapi metode penyusupan yang umum (mis. sandi phishing, tambalan yang hilang, atau server yang terlupakan) tampaknya tidak telah menjadi penyebabnya.

Buffer overflow terbuka

Dalam hal ini, sekarang resmi ditunjuk CVE-2022-4135, serangga dilaporkan oleh Grup Analisis Ancaman Google sendiri, tetapi tidak ditemukan secara proaktif, karena Google mengakuinya “sadar bahwa eksploit […] ada di alam liar.”

Kerentanan telah diberikan a High keparahan, dan digambarkan secara sederhana sebagai: Tumpukan buffer overflow di GPU.

Buffer overflow umumnya berarti bahwa kode dari satu bagian program menulis di luar blok memori yang secara resmi dialokasikan untuknya, dan menginjak-injak data yang nantinya akan diandalkan (dan karena itu secara implisit akan dipercaya) oleh beberapa bagian lain dari program.

Seperti yang dapat Anda bayangkan, ada banyak kesalahan jika buffer overflow dapat dipicu dengan cara yang licik untuk menghindari crash program secara langsung.

Overflow dapat digunakan, misalnya, untuk meracuni nama file yang akan digunakan oleh beberapa bagian lain dari program, menyebabkannya menulis data di tempat yang tidak seharusnya; atau untuk mengubah tujuan koneksi jaringan; atau bahkan untuk mengubah lokasi di memori tempat program akan mengeksekusi kode selanjutnya.

Google tidak secara eksplisit mengatakan bagaimana bug ini dapat (atau telah) dieksploitasi, tetapi sebaiknya diasumsikan bahwa semacam eksekusi kode jarak jauh, yang sebagian besar identik dengan "implantasi malware secara diam-diam", adalah mungkin, mengingat bug tersebut melibatkan salah urus memori.

Apa yang harus dilakukan?

Chrome dan Chromium diperbarui ke 107.0.5304.121 di Mac dan Linux, dan untuk 107.0.5304.121 or 107.0.5304.122 di Windows (tidak, kami tidak tahu mengapa ada dua versi yang berbeda), jadi pastikan untuk memeriksa apakah Anda memiliki nomor versi yang sama atau lebih baru dari itu.

Untuk memeriksa versi Chrome Anda, dan memaksakan pembaruan jika Anda terlambat, buka Menu tiga titik (⋮) dan pilih Bantuan > Tentang Chrome.

Microsoft Edge, seperti yang mungkin Anda ketahui, didasarkan pada kode Chromium (inti sumber terbuka Chrome), tetapi belum memiliki pembaruan resmi sejak sehari sebelum peneliti ancaman Google mencatat bug ini (dan belum memiliki pembaruan yang secara eksplisit mencantumkan perbaikan keamanan apa pun sejak 2022-11-10).

Jadi, kami tidak dapat memberi tahu Anda apakah Edge terpengaruh, atau apakah Anda harus mengharapkan pembaruan untuk bug ini, tetapi kami sarankan untuk tetap memperhatikan Microsoft catatan rilis resmi untuk berjaga-jaga.

---