Pembaruan terbaru untuk Google Browser Chrome keluar, menabrak nomor versi empat bagian ke 104.0.5112.101 (Mac dan Linux), atau ke 104.0.5112.102 (jendela).
Menurut Google, versi baru mencakup 11 perbaikan keamanan, salah satunya dijelaskan dengan pernyataan bahwa “eksploitasi [untuk kerentanan ini] ada di alam liar”, menjadikannya lubang nol hari.
Nama zero-day adalah pengingat bahwa ada nol hari di mana bahkan pengguna atau sysadmin yang paling terinformasi dan proaktif dapat ditambal di depan Orang Jahat.
Perbarui detail
Detail tentang pembaruan kurang, mengingat Google, yang sama dengan banyak vendor lain saat ini, membatasi akses ke detail bug “sampai sebagian besar pengguna diperbarui dengan perbaikan”.
Tapi milik Google rilis buletin secara eksplisit menyebutkan 10 dari 11 bug, sebagai berikut:
- CVE-2022-2852: Gunakan setelah gratis di FedCM.
- CVE-2022-2854: Gunakan setelah gratis di SwiftShader.
- CVE-2022-2855: Gunakan setelah gratis di ANGLE.
- CVE-2022-2857: Gunakan setelah gratis di Blink.
- CVE-2022-2858: Gunakan setelah gratis di Alur Masuk.
- CVE-2022-2853: Heap buffer overflow di Unduhan.
- CVE-2022-2856: Validasi input tidak tepercaya dalam Intents tidak memadai. (Nol-hari.)
- CVE-2022-2859: Gunakan setelah gratis di Chrome OS Shell.
- CVE-2022-2860: Penegakan kebijakan yang tidak memadai di Cookie.
- CVE-2022-2861: Implementasi yang tidak tepat di Extensions API.
Seperti yang Anda lihat, tujuh dari bug ini disebabkan oleh salah urus memori.
A gunakan-setelah-bebas kerentanan berarti bahwa satu bagian Chrome menyerahkan kembali blok memori yang tidak direncanakan untuk digunakan lagi, sehingga dapat dialokasikan kembali untuk digunakan di tempat lain dalam perangkat lunak…
…hanya untuk terus menggunakan memori itu, sehingga berpotensi menyebabkan satu bagian Chrome mengandalkan data yang dianggap dapat dipercaya, tanpa menyadari bahwa bagian lain dari perangkat lunak mungkin masih merusak data tersebut.
Seringkali, bug semacam ini akan menyebabkan perangkat lunak mogok sepenuhnya, dengan mengacaukan perhitungan atau akses memori dengan cara yang tidak dapat dipulihkan.
Namun, terkadang bug use-after-free dapat dipicu dengan sengaja untuk menyesatkan perangkat lunak sehingga berperilaku tidak semestinya (misalnya dengan melewatkan pemeriksaan keamanan, atau mempercayai blok data input yang salah) dan memicu perilaku yang tidak sah.
A tumpukan buffer overflow berarti meminta satu blok memori, tetapi menulis lebih banyak data daripada yang dapat dimasukkan dengan aman ke dalamnya.
Ini meluap buffer yang dialokasikan secara resmi dan menimpa data di blok memori berikutnya, meskipun memori itu mungkin sudah digunakan oleh beberapa bagian lain dari program.
Oleh karena itu buffer overflows biasanya menghasilkan efek samping yang mirip dengan bug use-after-free: kebanyakan, program yang rentan akan crash; terkadang, bagaimanapun, program dapat ditipu untuk menjalankan kode yang tidak dipercaya tanpa peringatan.
Lubang nol hari
Bug nol hari CVE-2022-2856 disajikan dengan tidak lebih detail dari yang Anda lihat di atas: “Validasi input tidak tepercaya di Intents tidak memadai.”
Sebuah Chrome Maksud adalah mekanisme untuk memicu aplikasi langsung dari halaman web, di mana data di halaman web dimasukkan ke dalam aplikasi eksternal yang diluncurkan untuk memproses data tersebut.
Google belum memberikan detail apa pun tentang aplikasi mana, atau jenis data apa, yang dapat dimanipulasi secara jahat oleh bug ini…
…tetapi bahayanya tampak agak jelas jika eksploitasi yang diketahui melibatkan pemberian makan aplikasi lokal secara diam-diam dengan jenis data berisiko yang biasanya akan diblokir dengan alasan keamanan.
Apa yang harus dilakukan?
Chrome mungkin akan memperbarui dirinya sendiri, tetapi kami selalu menyarankan untuk tetap memeriksanya.
Di Windows dan Mac, gunakan More > Bantuan > Tentang Google Chrome > Perbarui Google Chrome.
Ada buletin rilis terpisah untuk Chrome untuk iOS, yang menuju ke versi 104.0.5112.99, tetapi belum ada buletin [2022-08-17T12:00Z] yang menyebutkan Chrome untuk Android.
Di iOS, periksa apakah aplikasi App Store Anda mutakhir. (Gunakan aplikasi App Store itu sendiri untuk melakukan ini.)
Anda dapat melihat pengumuman pembaruan yang akan datang tentang Android di Google Rilis Chrome blog
Varian Chromium open-source dari browser Chrome berpemilik juga saat ini dalam versi 104.0.5112.101.
Microsoft Edge catatan keamanan, namun, saat ini [2022-08-17T12:00Z] mengatakan:
16 Agustus 2022
Microsoft menyadari eksploitasi baru-baru ini yang ada di alam liar. Kami secara aktif berupaya merilis patch keamanan seperti yang dilaporkan oleh tim Chromium.
Anda dapat mengawasi pembaruan Edge di Microsoft resmi Pembaruan Keamanan Tepi .
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Google Chrome
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- kerentanan
- website security
- zephyrnet.dll
