Google punya agar browser Chrome memperbaiki eksploitasi kerentanan zero-day yang telah digunakan oleh pelaku ancaman. Ini adalah kelima kalinya tahun ini perusahaan harus mengeluarkan patch untuk salah satu kerentanan ini, .
“Google menyadari bahwa eksploitasi untuk CVE-2024-4671 ada di alam liar,” kata perusahaan itu dalam sebuah nasihat singkat. Mereka tidak memberikan penjelasan spesifik mengenai sifat serangan di dunia nyata atau identitas pelaku ancaman. Hal ini biasa terjadi di Google, karena mereka suka menunggu hingga sebagian besar pengguna memperbarui perangkat lunaknya sebelum mengumumkan detail spesifiknya.
Kami mengetahui beberapa hal tentang eksploitasi. Ini diklasifikasikan sebagai “masalah dengan tingkat keparahan tinggi” dan sebagai kerentanan “pengguna setelah gratis”. Bug ini muncul ketika suatu program mereferensikan lokasi memori setelah tidak dialokasikan, yang menyebabkan sejumlah konsekuensi serius mulai dari crash hingga eksekusi kode secara acak. Sepertinya kerentanan CVE-2024-4671 melekat pada komponen visual yang menangani rendering dan tampilan konten di browser.
Eksploitasi tersebut ditemukan dan dilaporkan ke Google oleh peneliti anonim. Perbaikan ini tersedia untuk Mac, Windows dan Linux dan pembaruan akan terus diluncurkan kepada pengguna selama beberapa hari dan minggu mendatang. Chrome diperbarui secara otomatis dengan perbaikan keamanan, sehingga pengguna dapat mengonfirmasi bahwa mereka menjalankan browser versi terbaru dengan membuka Setelan dan Tentang Chrome. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga harus memperbarui ke versi baru segera setelah tersedia.
Seperti disebutkan, ini adalah kesalahan kelima yang ditangani Google tahun ini. Yang saya maksud bukan “dalam tahun kalender terakhir”. Maksud saya pada tahun 2024. Tiga ditemukan pada bulan Maret di kontes peretasan Pwn2Own di Vancouver. Ini bukan rekor atau apa pun. Google menemukan dan memperbaikinya kembali pada tahun 2020.
Eksploitasi zero-day selalu menjadi duri bagi Google. Ini adalah jenis serangan siber yang memanfaatkan kelemahan keamanan yang tidak diketahui atau belum teratasi pada perangkat lunak, perangkat keras, atau firmware komputer. Perusahaan biasanya mengeluarkan banyak uang untuk penemuan bug, sebagai bagian dari upayanya.
