Mozilla telah merilis update terbaru yang sangat penting untuk web browser Firefox-nya untuk memperbaiki kerentanan kritis yang memungkinkan penyerang mengeksekusi kode berbahaya secara remote pada komputer yang menjalankan versi browser rentan.
Pembaruan yang memperbaiki kerentanan di Firefox UI ini diluncurkan seminggu setelah perusahaan merilis Firefox Quantum browser, a.k.a Firefox 58, dengan beberapa fitur baru seperti graphics engine yang ditingkatkan, performance optimization dan patch untuk lebih dari 30 kerentanan.
Menurut sebuah advisory keamanan yang diterbitkan oleh Cisco, kerentanan ‘arbitrary code execution’ ini berasal karena ‘insufficient sanitization‘ dari fragmen HTML dalam dokumen chrome-privileged (browser UI).
Penyerang dapat memanfaatkan kerentanan ini (CVE-2018-5124) untuk menjalankan kode arbitrary di komputer korban hanya dengan menipu mereka agar mengakses tautan atau membuka file yang berisi masukan berbahaya ke perangkat lunak yang terpengaruh.
“Keberhasilan serangan yang berhasil memungkinkan penyerang mengeksekusi kode arbitrary dengan hak istimewa pengguna. Jika pengguna memiliki hak istimewa yang tinggi, penyerang bisa membahayakan sistem sepenuhnya,” menurut advisory kerentanan tersebut.
Ini memungkinkan penyerang memasang program, membuat akun baru dengan hak akses tinggi, dan melihat, mengubah, atau menghapus data.
Namun, jika aplikasi telah dikonfigurasi agar memiliki lebih sedikit hak akses pengguna pada sistem, eksploitasi kerentanan ini akan berdampak lebih sedikit pada pengguna.
Versi browser web yang terpengaruh meliputi Firefox 56 (.0, .0.1, .0.2), 57 (.0, .0.1, .0.2, .0.3, .0.4), and 58 (.0). Kerentanan telah diperbaiki dalam Firefox 58.0.1, dan kamu dapat mendownload dari situs resmi Mozilla.
Masalah keamanan yang ditemukan pengembang Mozilla, Johann Hofmann, tidak mempengaruhi browser Firefox untuk Android dan Firefox 52 ESR.
Pengguna disarankan untuk menerapkan pembaruan perangkat lunak sebelum penyerang mengeksploitasi masalah ini, dan hindari membuka tautan yang tersedia dalam email atau pesan jika muncul dari sumber yang mencurigakan atau tidak dikenal.
Administrator juga disarankan untuk menggunakan akun unprivileged saat browsing internet dan selalu memantau sistem.
