Google telah merilis 2 pembaruan keamanan hari ini untuk browser web Chrome-nya yaitu CVE-2020-16013 dan CVE-2020-16017.Dalam rangkaian pembaruan terbarunya, Google merilis dua tambalan untuk kerentanan zero-day Chrome yang dieksploitasi.
Selama tiga minggu terakhir, Google telah memperbaiki total lima kekurangan zero-day di Chrome. Bug mempengaruhi Chrome versi 86.0.4240.198, dan disarankan agar pembaruan segera diterapkan untuk menghindari serangan dunia maya yang memanfaatkan kekurangan tersebut.
Bagaimana Kerentanan CVE-2020-16013 dan CVE-2020-16017 bisa terdeteksi?
Salah satunya,dijelaskan tentang penerapan yang tidak tepat di V8, komponen Chrome yang menangani kode JavaScript. Yang lainnya adalah bug kerusakan memori.
Google belum merilis informasi tentang apakah bug digunakan bersama sebagai rantai eksploitasi atau secara individual.Identifikasi sebagai CVE-2020-16009, zero-day ditemukan oleh Grup Analisis Ancaman (TAG) Google, tim keamanan di Google yang bertugas melacak pelaku ancaman dan operasi mereka yang sedang berlangsung.
Dengan cara khas Google, detail tentang zero-day dan grup yang mengeksploitasi bug belum dipublikasikan - sebagai cara untuk memberi pengguna Chrome lebih banyak waktu untuk menginstal pembaruan dan mencegah pelaku ancaman lain mengembangkan eksploitasi mereka sendiri untuk kerentanan Zero-days.
Namun, dalam changelog singkat yang diterbitkan hari ini, Google mengatakan zero-day berada di V8, komponen Chrome yang menangani kode JavaScript.
Pengguna Chrome disarankan untuk memperbarui browser mereka ke versi 86.0.4240.183 atau yang lebih baru.
Menurut log perubahan Chrome 86.0.4240.198, dua hari nol dilacak dan dijelaskan sebagai berikut:
CVE-2020-16013 - Dideskripsikan sebagai "penerapan yang tidak tepat di V8", dengan V8 adalah komponen Chrome yang menangani kode JavaScript.
CVE-2020-16017 - Dijelaskan sebagai bug kerusakan memori "gunakan setelah gratis" di Isolasi Situs, komponen Chrome yang mengisolasi setiap data situs satu sama lain.
Dua hari Zero Days ini muncul setelah Google juga menambal:
CVE-2020-15999 - zero-day di pustaka rendering font FreeType Chrome yang ditambal Google pada 20 Oktober. Zero-day Chrome ini digunakan bersama dengan zero-day Windows (CVE-2020-17087), yang telah ditambal Microsoft kemarin.
CVE-2020-16009 - zero-day kedua, juga di mesin JavaScript V8 Chrome, yang ditambal Google pada 2 November.
CVE-2020-16010 - zero-day ketiga, kali ini di Chrome untuk Android, memengaruhi komponen antarmuka pengguna (UI) browser.
Kerentanan Zero-Days Kedua Dalam Dua Minggu
Ini adalah zero-day Chrome kedua yang ditemukan Google dieksploitasi di Internet dalam dua minggu terakhir.
Pada 20 Oktober, Google juga merilis pembaruan keamanan untuk Chrome untuk menambal CVE-2020-15999, zero-day di perpustakaan rendering font FreeType Chrome.
Seperti yang diungkapkan Google minggu lalu pada hari Jumat, zero-day Chrome ini digunakan bersamaan dengan zero-day Windows (CVE-2020-17087).
Zero-day Chrome digunakan untuk mengeksekusi kode berbahaya di dalam Chrome, sedangkan zero-day Windows digunakan untuk meningkatkan hak istimewa kode dan menyerang OS Windows yang mendasarinya.
Microsoft diperkirakan akan menambal zero-day ini pada 10 November
Google tidak mengklarifikasi apakah dua hari nol ini disalahgunakan oleh pelaku ancaman yang sama.
Solusi Untuk 2 Kerentanan Dua Zero-day CVE-2020-16013 dan CVE-2020-16017
Meskipun tidak jelas tingkat bahayanya bagi pengguna biasa, pengguna Chrome masih disarankan untuk memperbarui ke v86.0.4240.198 melalui fungsi pembaruan bawaan browser (lihat menu Chrome, opsi Bantuan, dan Tentang bagian Google Chrome) sesegera mungkin .
Atau Download Google Crome Versi Terbaru Disini: https://www.google.com/chrome/
| Tingkat Bahaya | Bahaya |
| Apakah Patch telah Tersedia | YES |
| Jumlah Kerentanan | 2 |
| CVE ID | CVE-2020-16013 CVE-2020-16017 |
| CWE ID | CWE-358 CWE-416 |
| Exploitation vector | Network |
| Public exploit | Vulnerability #1 is being exploited in the wild. Vulnerability #2 is being exploited in the wild. |
