- Rilis Google Saran keamanan Chrome, yang menyertakan patch zero-day untuk mesin JavaScript Chrome.
- CVE-2021-30551 mendapat peringkat tinggi, dengan hanya satu bug yang tidak ada di alam liar, dieksploitasi oleh pihak ketiga yang jahat.
- Menurut Google, Akses ke detail bug dan tautan dapat tetap dibatasi hingga sebagian besar pengguna diperbarui dengan perbaikan.
- Itu Bug CVE-2021-30551 terdaftar oleh Google sebagai jenis kebingungan di V8, yang berarti bahwa keamanan JavaScript dapat dilewati untuk menjalankan kode yang tidak sah.
Pengguna masih memikirkan Microsoft sebelumnya Pengumuman Patch Selasa, yang menurut mereka sangat buruk, dengan enam kerentanan di alam liar yang ditambal.
Belum lagi yang terkubur jauh di dalam sisa-sisa kode rendering web MSHTML Internet Explorer.
14 perbaikan keamanan dalam satu pembaruan tunggal
Sekarang, Google merilis Saran keamanan Chrome, yang mungkin ingin Anda ketahui termasuk patch zero-day (CVE-2021-30551) ke mesin JavaScript Chrome, di antara 14 perbaikan keamanan lainnya yang terdaftar secara resmi.
Bagi yang masih belum familiar dengan istilah tersebut, hari nol adalah waktu yang imajinatif, karena jenis serangan siber ini terjadi dalam waktu kurang dari sehari sejak kesadaran akan kelemahan keamanan.
Oleh karena itu, ini tidak memberikan waktu yang cukup bagi pengembang untuk memberantas atau mengurangi potensi risiko yang terkait dengan kerentanan ini.
Mirip dengan Mozilla, Google juga mengelompokkan bug potensial lainnya yang ditemukan menggunakan metode perburuan bug umum, yang terdaftar sebagai: Berbagai perbaikan dari audit internal, fuzzing, dan inisiatif lainnya.
Fuzzer dapat menghasilkan jika tidak jutaan, ratusan juta input pengujian selama rentang waktu pengujian.
Namun, satu-satunya informasi yang perlu mereka simpan adalah dalam kasus yang menyebabkan program berperilaku tidak semestinya, atau macet.
Ini berarti bahwa mereka dapat digunakan nanti dalam proses, sebagai titik awal untuk pemburu serangga manusia, yang juga akan menghemat banyak waktu dan tenaga.
Serangga sedang dieksploitasi di alam liar
Google memulai dengan menyebutkan bug zero-day, menyatakan bahwa mereka] sadar bahwa eksploitasi untuk CVE-2021-30551 ada di alam liar.
Bug khusus ini terdaftar sebagai ketik kebingungan di V8, di mana V8 mewakili bagian Chrome yang menjalankan kode JavaScript.
Kebingungan mengetik berarti Anda dapat menyediakan V8 dengan satu item data, sambil menipu JavaScript untuk menanganinya seolah-olah itu adalah sesuatu yang sama sekali berbeda, berpotensi melewati keamanan atau bahkan menjalankan kode yang tidak sah.
Seperti yang mungkin Anda ketahui, pelanggaran keamanan JavaScript yang dapat dipicu oleh kode JavaScript yang disematkan di halaman web, lebih sering mengakibatkan eksploitasi RCE, atau bahkan eksekusi kode jarak jauh.
Dengan semua ini dikatakan, Google tidak mengklarifikasi apakah bug CVE-2021-30551 dapat digunakan untuk eksekusi kode jarak jauh hardcore, yang biasanya berarti bahwa pengguna rentan terhadap serangan cyber.
Hanya untuk mendapatkan gambaran betapa seriusnya ini, bayangkan menjelajahi situs web, tanpa benar-benar mengklik apa pun munculan, dapat memungkinkan pihak ketiga yang berbahaya menjalankan kode tanpa terlihat, dan menanamkan malware di komputer Anda.
Dengan demikian, CVE-2021-30551 hanya mendapat rating tinggi, hanya dengan bug yang tidak ada di alam liar (CVE-2021-30544), tergolong kritis.
Bisa jadi bug CVE-2021-30544 telah disebutkan secara kritis karena dapat dieksploitasi untuk RCE.
Namun, tidak ada saran bahwa orang lain selain Google, serta para peneliti yang melaporkannya tahu bagaimana melakukan itu, untuk saat ini.
Perusahaan juga menyebutkan bahwa akses ke detail bug dan tautan dapat tetap dibatasi hingga sebagian besar pengguna diperbarui dengan perbaikan
Apa pendapat Anda tentang patch zero day terbaru dari Google? Bagikan pemikiran Anda dengan kami di bagian komentar di bawah.
