Google baru-baru ini memperbaiki dua kerentanan zero-day Chrome lainnya yang sedang aktif dieksploitasi dalam rilisan versi 86.0.4240.198.
Dua kerentanan ini menandai zero-day keempat dan kelima yang telah diperbaiki Google di Chrome selama tiga minggu terakhir.
Perbedaannya kali ini yaitu sementara tiga zero-day pertama ditemukan secara internal oleh peneliti keamanan Google, dua zero-day baru ini menjadi perhatian Google setelah mendapat tip dari sumber anonim.
Pada saat artikel ini diterbitkan, detail tentang serangan di mana dua kerentanan kritis Chrome yang sedang aktif dieksploitasi tersebut masih belum dipublikasikan.
Baca Juga: “Kerentanan Kritis Google Chrome Ini Sedang Aktif Dieksploitasi“
Menurut changelog Chrome 86.0.4240.198, dua zero-day itu dilacak dan dijelaskan sebagai berikut:
- CVE-2020-16013, dideskripsikan sebagai “penerapan yang tidak tepat di V8”, dengan V8 merupakan komponen Chrome yang menangani kode JavaScript.
- CVE-2020-16017, dijelaskan sebagai kerentanan kerusakan memory corruption “use-after-free” dalam Site Isolation, komponen Chrome yang mengisolasi setiap data situs satu sama lain.
Saat ini masih tidak diketahui apakah kedua kerentanan tersebut digunakan secara bersamaan, sebagai bagian dari rantai eksploitasi, atau digunakan secara individual. Yang pertama dilaporkan pada hari Senin (09/11/2020), sedangkan yang kedua dilaporkan pada hari Rabu (11/11/2020).
Baca Juga: “Google Perbaiki Kerentanan Zero-Day Dalam Chrome Untuk Android Yang Sedang Aktif Dieksploitasi“
Dua kerentanan zero-day ini muncul setelah Google memperbaiki CVE-2020-15999, CVE-2020-16009, dan CVE-2020-16010.
Meskipun masih tidak jelas seberapa bahayanya dampak kerentanan tersebut bagi pengguna biasa, pengguna Chrome masih disarankan untuk memperbarui ke versi 86.0.4240.198 melalui fungsi pembaruan bawaan browser sesegera mungkin .
