Browser Chrome Cacat, Miliaran Pengguna Peramban Terancam Diretas

JAKARTA – Google dilaporkan meluncurkan patch keamanan darurat untuk browser Chrome. Pasalnya peramban Chrome tersebut diketahui memiliki celah keamanan yang rentan sehingga pengguna mudah disusupi peretas. Patch keamanan tersebut diluncurkan Google pada hari Jumat 15 Oktober 2021.

Celah keamanan tersebut diketahui sebagai CVE-2021-37973. Celah itu bisa digunakan secara cuma-cuma di Portals API, sebuah sistem navigasi halaman web yang memungkinkan untuk menampilkan halaman lain sebagai sisipan dan bisa “melakukan transmisi mulus ke keadaan baru, di mana halaman yang sebelumnya disisipkan menjadi dokumen tingkat tinggi.”

Kerentanan tersebut diketahui pertama kali oleh Clément Lecigne dari Threat Analysis Group (TAG). Meski begitu, celah keamanan yang rentan itu belum diungkapkan secara lebih detail lagi karena berkaitan dengan eksploitasi aktif supaya pengguna bisa menerapkan patch keamanan tersebut.

Di sisi lain, Google juga menyadari bahwa eksploitasi “CVE-2021-37973 ada di alam liar”. Upgrade patch keamanan untuk peramban Chrome diluncurkan sehari setelah Apple menutup celah keamanan yang diekspolitasi secara aktif di Chrome versi iOS dan MacOS lawas.

Perbaikan keamanan dari Google diklaim mampu mengatasi eksploitasi ‘zero-day’ ke-11 Chrome. Kerentanan ini berimbas pada para pengguna browser di Linux, MacOS dan Windows. Sebagai informasi, eksploitasi ‘zero-day’ berarti hacker sudah bisa memasuki celah tersebut bahkan sebelum Google meluncurkan pembaruan keamanan yang bisa mengakibatkan peretasan cukup serius.

Saat ini peramban Chrome memiliki pengguna sebanyak 2,65 miliar. Jumlah tersebut menjadi sasaran empuk bagi para peretas. Zero-day merupakan kerentanan User-After-Free (UAF) yang lain. Forbes melaporkan bahwa UAF ini kerap digunakan oleh para peretas untuk melakukan eksploitasi korbannya.

Patch keamanan terbaru  yang diluncurkan Google bisa mengatasi 12 kerentanan zero-day yang ada di peramban Chrome sejak awal tahun 2021 sebagi berikut:

CVE-2021-21148 - Heap buffer overflow in V8

CVE-2021-21166 - Object recycle issue in audio

CVE-2021-21193 - Use-after-free in Blink

CVE-2021-21206 - Use-after-free in Blink

CVE-2021-21220 - Insufficient validation of untrusted input in V8 for x86_64

CVE-2021-21224 - Type confusion in V8

CVE-2021-30551 - Type confusion in V8

CVE-2021-30554 - Use-after-free in WebGL

CVE-2021-30563 - Type confusion in V8

CVE-2021-30632 - Out of bounds write in V8

CVE-2021-30633 - Use-after-free in Indexed DB API

Dengan adanya celah keamanan ini, pengguna Chrome diharapkan segera memperbarui peramban ke versi terbaru 94.0.4606.61. Caranya, pengguna hanya perlu masuk ke Pengaturan, kemudian klik Bantuan, pilih “About Google Chrome”. Dengan memperbarui peramban Chrome diharapkan bisa mengurangi potensi diretas.